Des billets d’avion trop simples à pirater ?

Sécurité : Très ancien, le système informatique gérant les réservations de billets d'avion (GDS) est un nid à failles, exploitables à partir d'un simple ticket d'embarquement.

Par La rédaction de ZDNet.fr

  • 2 min

Des billets d’avion trop simples à pirater ?

Partager sur les réseaux sociaux l’image de votre ticket d’embarquement avant un voyage est devenu une pratique courante… mais visiblement risquée. C’est en effet la conclusion de deux experts en sécurité informatique qui ont partagé leurs travaux lors de la 33e édition du Chaos Communication Congress, travaux relayés par le Monde.

Concrètement, le problème se situe au niveau du système informatique gérant les réservations de billets d’avion (GDS pour Global Distribution Systems) qui serait un nid à failles, permettant d’accéder « en quelques clics » aux données de millions de passagers et même de modifier ces données.

Karsten Nohl et Nemanja Nikodijevic expliquent que les GDS stockent un très grand nombre de données personnelles (adresse, adresse e-mail, numéro de téléphone, numéro de carte de fidélité, et parfois numéro de carte de paiement) réunies au sein des dossiers passagers (ou PNR) et dupliquées dans plusieurs GDS.

« Aucun hacking n’a été nécessaire » pour accéder à ces données, explique Karsten Nohl tout simplement parce que ces systèmes informatiques sont très anciens (années 1960) et peu voire pas du tout protégés ou chiffrés : la clé d’entrée se résume à l’assocoaition nom du passager + code de réservation.

Ainsi, expliquent les experts, en ayant ces deux informations, il serait possible pour les salariés du secteur (compagnies aériennes, sites de voyage…) d’accéder à la globalité des données personnelles d’un voyageur quel que soit son voyage ou la compagnie utilisée.

Plus angoissant, n’importe qui peut finalement accéder aux PNR en ayant seulement le nom passager et le numéro de réservation via les sites Web des compagnies aériennes qui n’associent pas non plus ces données à un mot de passe.

Et pour obtenir ces données, il suffit de se procurer une carte d’embarquement qui, dans certains cas, fait figurer le numéro de réservation (le nom du voyageur est toujours indiqué). Et si le numéro n’apparaît pas en clair, il figure dans le code barre qui lui aussi peut être décrypté très facilement. D’où le risque de photographier et de partager son ticket…

Et ce ne’st pas fini. Karsten Nohl a démontré qu’il était possible d’obtenir le numéro de réservation associé à un nom tout simplement en testant toutes les combinaisons. De quoi, modifier le billet, l’annuler etc… Voire de se faire rembourser.

Face à ces menaces, certains spécialistes des GDS comme le leader Amadeus ont d’ores et déjà mis en place des mesures de protection mais qui selon les chercheurs restent encore insuffisantes. Seule la mise en place de mots de passe au niveau de l’édition d’un billet en ligne (et pas seulement la référence billet) pourrait constituer une bonne défense. Mais une telle approche exigerait une refonte plus profonde de ces vieux GDS.

Connexion

Vous n’avez pas encore de compte ?

    AUTOUR DE ZDNET
    SERVICES
    À PROPOS