Publier vos billets d’avion sur Internet peut se retourner contre vous

Des personnes publient des photos de leurs billets sur Internet. Pourquoi ne devraient-ils pas ? Instagram contient à lui seul des milliers d’images exposant des places de concert, des billets d’avion et même des tickets de loterie.
Si tout le monde le fait, pourquoi pas moi ?

En réalité, la dernière chose à faire est de publier sur Internet un billet ou une carte d’embarquement. Ce bout de papier contient des données qui permettent à n’importe qui de voler votre billet (on n’exagère pas), récolter des miles (points de fidélité) ou même vous jouer un mauvais tour. Il y a plus d’un an, nous avions parlé des mauvaises blagues que l’on peut faire avec les informations d’un billet. Récemment, les chercheurs en sécurité Karsten Nohl et Nemanja Nikodijevic ont ravivé le sujet, lors du Chaos Communication Congress (33С3).
Les compagnies aériennes, agences de voyage, sites comparateurs de prix, et beaucoup d’autres services travaillent conjointement afin de faciliter la réservation aux passagers. L’industrie utilise les Global Distribution Systems (GDS) pour vérifier la disponibilité des vols, s’assurer que les sièges n’ont pas été réservés deux fois, etc. Les GDS sont étroitement liés aux services web, mais ne disposent pas des meilleures pratiques de protection. Par conséquent, les technologies GDS demeurent désuètes en matière de protection et permettent aux cybercriminels d’agir sur un large champ d’attaque.
Même s’il existe actuellement près de 20 vendeurs de GDS, le duo de chercheurs en sécurité Nohl et Nikodijevic s’est penché sur les trois principaux systèmes : Sabre (fondé en 1960), Amadeus (fondé en 1967), et Galileo (désormais une unité de Travelport). Ces systèmes gèrent plus de 90% des réservations de vols, ainsi que celles d’hôtels, de voitures et autres réservations relatives au voyage.
Par exemple, la Lufthansa et AirBerlin travaillent avec Amadeus, et avec le tour-opérateur Expedia. Quant à American Airlines et la compagnie aérienne russe Aeroflot, elles restent fidèles à Sabre. Qu’importe, il est difficile d’affirmer avec certitude quel GDS stocke les données d’un passager en particulier. Par exemple, si vous réservez un billet d’American Airlines via Expedia, Amadeus et Sabre comptabilisent tous deux la transaction.
Selon les règles du système de réservation, les enregistrements de GDS contiennent en général le nom du passager, le numéro de téléphone, la date de naissance, et les informations du passeport, ainsi que son numéro de billet, le lieu de départ et celui d’arrivée, la date et l’heure du vol. Ils comportent également des informations de paiement (telles qu’un numéro de carte de crédit). En d’autres termes, des renseignements confidentiels.
Nohl et Nikodijevic ont indiqué que beaucoup de monde a accès à ces données, y compris des employés de compagnies aériennes, des tour-opérateurs, des représentants d’hôtels, et autres agents. Les chercheurs supposent que les agences gouvernementales sont également en mesure de lire ces données. Mais il ne s’agit que de la partie immergée de l’iceberg.
Pour changer et avoir accès à ces informations, les GDS utilisent un nom de voyageur comme identifiant et un code de réservation à 6 chiffres (la plupart des voyageurs le connaissent comme étant le PNR) pour créer un mot de passe. Eh oui, c’est le PNR qui est explicitement imprimé sur les cartes d’embarquement et les étiquettes à bagage. En tant que mot de passe.

« Si le PNR est censé être un mot de passe sécurisé, il devrait être traité en tant que tel », a déclaré Nohl lors de la conférence. « Mais le secret n’est pas gardé : il est imprimé sur chaque bout de bagage. Il est utilisé pour être imprimé sur les cartes d’embarquement, jusqu’à ce qu’il disparaisse et qu’il soit remplacé par un code-barres ». Ce code-barres, d’ailleurs, contient toujours le PNR.
La majorité des voyageurs ne comprennent pas les rouages internes de l’industrie aérienne, par conséquent ils publient avec enthousiasme leurs billets sur Internet contenant le PNR, chiffré sur un code-barres. Cependant, un code-barres n’est pas un mystère, les logiciels spéciaux peuvent le lire. Donc quiconque prend une photo de votre étiquette à bagage à l’aéroport ou trouve votre billet sur Internet, peut accéder à vos données privées. Pas besoin d’être un hacker pour exploiter les vulnérabilités du PNR, il suffit juste de savoir où regarder. Dans la vidéo ci-dessous, vous pouvez voir de quelle façon Nohl et Nikodijevic ont décodé le code-barres d’un billet d’avion provenant d’une photo d’Instagram.

 
De plus, plusieurs compagnies aériennes et sites web de réservation en ligne ne bloquent pas les utilisateurs qui saisissent de mauvais codes à plusieurs reprises. Par conséquent, les malfaiteurs peuvent choisir des noms de famille courants tels que Smith et simplement forcer les PNR des passagers. Ce n’est pas compliqué : le code comporte six numéros et les algorithmes de génération des codes souffrent souvent de certaines vulnérabilités. Par exemple, certains d’entre eux réitèrent les deux premiers caractères successivement, et tous les PNR générés à une date en particulier commencent par le même caractère. D’autres fournisseurs utilisent des codes spécifiques pour certaines compagnies aériennes. Ces pratiques limitent la série de numéros qu’un détracteur peut deviner.
Lors du Chaos Communication Congress, Nohl et Nikodijevic ont démontré que pirater un PNR ne prend que quelques minutes ; de 30 à 45 minutes dans cette vidéo. Vous y trouverez une explication détaillée sur la façon dont cela fonctionne ainsi qu’une démonstration en temps réel de l’ensemble du processus.
En conséquence, les cybercriminels peuvent exploiter des GDS pour obtenir des données confidentielles de passagers et les utiliser pour commettre des attaques d’hameçonnage avancées. Prenons un exemple : M. Smith réserve un vol pour Berlin et 10 minutes plus tard reçoit un e-mail de sa compagnie aérienne lui demandant de confirmer ses informations de carte de crédit. L’e-mail comporte son prénom et nom de famille, le lieu d’arrivée et autres détails précis de réservation. Cela semble-t-il crédible ? Bien sûr ! Il est très probable que M. Smith clique sur le lien de l’e-mail et donne ses informations de carte de crédit, mais à un faux site web.
Les hackers pourraient également être en mesure de changer les données d’un billet en utilisant le PNR et en cherchant d’autres données personnelles. Ils annuleraient le billet et obtiendraient l’argent du remboursement sur leur propre compte. Ils pourraient aussi changer le prénom du détenteur du billet, le nom de famille, et le numéro de passeport afin qu’une autre personne puisse voyager. Un hacker plus prudent ou plus généreux changerait simplement les données du voyageur régulier et récolterait les points de fidélité que le détenteur initial du billet aurait accumulé. Dernièrement, en utilisant les PNR comme mots de passe, les GDS offrent littéralement aux hackers des vols gratuits, des miles illimités, et même de l’argent.
Un autre point extrêmement décevant : Malgré le fait que les experts et les médias ont soulevé cette question de nombreuses fois ces dernières années, les entreprises GDS refusent toujours d’enregistrer les accès au PNR. C’est la raison pour laquelle personne ne peut retrouver l’origine de la vaste majorité des cas d’abus. Quelques incidents ont même été reportés lorsque par exemple des cybercriminels ont volé purement et simplement des billets de voyageurs et de victimes qui se plaignaient. Quant à la fraude et au vol de données plus intelligents, les spécialistes sont incapables d’évaluer l’étendue du problème.
Nohl et Nikodijevic sont certains que les clients ne s’attendent pas à des changements considérables soudains. C’est tout le système de réservation qui doit être revu, et malheureusement la seule chose qui peut inciter les compagnies aériennes à le faire est la montée de la fraude au PNR.
Pour le moment, nous recommandons deux plans d’action simples : restez vigilant et ne postez jamais vos cartes d’embarquement en ligne. Même un vieux billet peut en dire beaucoup sur vos données personnelles.
Source: Kaspersky
Publier vos billets d’avion sur Internet peut se retourner contre vous