Saviez-vous qu’un hacker peut détourner votre billet d’avion ?

Saviez-vous qu’un hacker peut détourner votre billet d’avion ?

01Le système de billetterie aérienne globale (« Global Distribution System » ou GDS), permettant la réservation d’un vol de façon unique, présenterait un niveau de sécurité informatique étonnamment bas. L’absence d’une véritable révision des infrastructures IT du système permet le piratage des données personnelles des passagers, ainsi que la possibilité de détourner leurs billets d’avion. Afin de réserver un vol, tout passager doit notamment fournir au GDS : nom, prénom, numéro de téléphone, numéro de passeport, etc. L’ensemble de ces données est nommé « Passenger Name Record », ou PNR, et est requis depuis près de 60 ans afin que les douanes et les autorités policières puissent contrôler les flux de personnes à l’international, dans un souci de lutte contre le terrorisme et le crime organisé. Ces données, d’abord récoltées manuellement, le sont de façon automatisée et systématique depuis les années 1970.  

Vulnérabilités informatiques du système GDS

Le système de billetterie a récemment été étudié par Karsten Nohl et Nemanja Nikodijevic, chercheurs en sécurité informatique. Ceux-ci reprochent à son infrastructure de présenter un niveau de sécurité très faible, hérité des années 70. La faille principale du système consiste en la faible sécurisation de l’accès au dossier passager contenant les PNR. Celui-ci ne requiert aucun mot de passe, mais les seuls nom et “code de réservation” du voyageur. Or ce code n’est constitué que de 6 caractères : un pirate peut donc procéder à de multiples requêtes auprès d’un site de compagnie aérienne jusqu’à trouver le bon code. On appelle ce procédé “attaque de force brute”. plane-ticket-hack-02 Une autre faille majeure réside dans le fait que nom et code de réservation sont présents sur tout billet et étiquettes de vol, directement lisibles, ou sous forme de code barre dont on peut aisément les extraire. Un passager imprudent qui partagerait sur les réseaux sociaux une photo de son billet serait donc complètement exposé au piratage de son compte. Les deux chercheurs ont constaté en quelques semaines, fin 2016, plus de 75.000 partages de telles photos.   Ayant obtenu le nom et le code de réservation, le pirate accède au dossier passager et à ses PNR. Il a alors l’embarras du choix entre :

  • La fraude financière en engrangeant les miles du véritable passager, ou encore en annulant son vol et récupérant le bon d’achat d’une somme équivalente.
  • Le pirate peut également, selon les compagnies, changer le nom du passager sur le billet et ainsi profiter du vol à la place du client original.
  • Dans certains cas, le contrôle d’identité des passagers n’est pas systématique (exemple : l’espace Schengen) : un hacker pourra alors utiliser le billet sans même en changer le nom. Une telle usurpation d’identité au cours d’un vol présente une faille claire en termes de lutte antiterroriste.
  • Enfin, les passagers sont exposés au vol d’informations privées (les PNR de leur dossier passager ainsi que les données renseignées par leur billet d’avion telles que la géolocalisation).

Mesures de sécurité désirables

Quelques mesures simples pourraient pourtant augmenter de façon considérable le niveau de sécurité du système de billetterie :

  • l’enregistrement des données de connexion par le GDS afin de pouvoir tracer l’origine des actions frauduleuses
  • l’ajout d’un mot de passe utilisateur, au delà du simple code de réservation à 6 caractères
  • la limitation du nombre de requêtes de connexion possibles de la part d’une même adresse IP afin d’empêcher les “attaques de force brute”

Il semblerait qu’un des trois acteurs assurant le GDS (Amadeus, Galileo et Sabre) ait pris en compte la dernière de ces mesures suite à l’étude des deux chercheurs. Il n’est cependant pas exclu que cette mesure reste exceptionnelle et isolée.

Conclusion

Rappelons que la création des PNR a été originellement motivée par la lutte contre le terrorisme et le crime organisé. Il est regrettable de constater que l’alarmante vulnérabilité informatique du système GDS conduise, à l’inverse, à deux menaces majeures : la fraude financière et l’usurpation d’identité.