IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Actualités Discussion :

Il est facile de modifier les réservations de vol d'autres personnes

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    9 017
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 9 017
    Points : 208 490
    Points
    208 490
    Par défaut Il est facile de modifier les réservations de vol d'autres personnes
    Il est facile de modifier les réservations de vol d'autres personnes,
    des chercheurs indiquent une sécurité vieillissante des infrastructures des systèmes de réservation de voyage en ligne

    Selon une équipe de chercheurs en sécurité, les systèmes de réservation de voyage en ligne, utilisés chaque jour par des millions de personnes, ne disposent pas de méthode modernes d’authentification. Ce qui fait que des pirates sont en mesure de modifier facilement les réservations d'autres personnes, annuler leurs vols et même utiliser les remboursements pour se réserver des billets.

    Karsten Nohl et Nemanja Nikodijevic, du cabinet Security Research Labs basé à Berlin, ont passé des mois à étudier la sécurité employée par Global Distribution Systems (GDS), un logiciel de gestion des réservations de prestation de voyage (hôtel, sociétés de location de voiture, camping, avion) très populaire pour les tour opérateurs. GDS permet à ces tour opérateurs de connaître en temps réel les prestations, les disponibilités et leur prix. Ils ont présenté les résultats de leur analyse durant le Chaos Communications Congress à Hambourg.

    La base de données de GDS contient donc des informations sur les réservations de voyage. Il peut s’agir par exemple du nom du voyageur, ses dates de voyage, son itinéraire, les détails relatifs à son billet, ses contacts téléphonique et électronique, les informations sur son passeport etc. L’enregistrement dans une base de données des informations qu'une compagnie aérienne juge nécessaires pour établir une réservation de vol constitue des données des dossiers passagers (ou PNR, pour l'anglais Passenger Name Record) ; il est constitué d’éléments obligatoires (nom, itinéraire, contact, informations de ticket) et d’autres éléments qui sont considérés comme complémentaires (réservation d’hôtel, de voiture, etc.). Notons qu’au niveau de l’Europe, le PNR a été enfin soumis au vote du Parlement européen le jeudi 14 avril 2016, après 12 ans de débat, et a été adopté à la faveur d'une large majorité (461 voix pour contre 179 contre et 9 abstentions).


    Les trois principaux opérateurs GDS dans le monde sont Sabre, Travelport et Amadeus. Ensemble, ils sauvegardent des informations sur des millions de voyageurs. Toutes les données ajoutées ou toutes modifications apportées à une réservation sont stockées dans leurs systèmes et tout ce qui est nécessaire pour accéder à ces informations est généralement un nom de famille et un code de réservation de six caractères.

    Il y a plusieurs points d'accès à ces systèmes et cela comprend les sites web exploités par les compagnies aériennes et les agences de voyages, mais aussi des sites tiers tels que CheckMyTrip. Même si certains d'entre eux demandent plus d'informations que d'autres pour authentifier les utilisateurs comme le prénom en plus du nom de famille, le niveau de protection d'un PNR est finalement celui du maillon le plus faible de la chaîne.


    Par exemple, si une réservation inclut des vols avec différentes compagnies aériennes, la réservation peut être consultée et modifiée à travers les sites web de l'une des compagnies aériennes qui opèrent les différentes étapes du voyage.

    Le code de réservation lui-même est loin d'être secret. Parmi les endroits où il figure, les chercheurs notent qu’il est incorporé dans les codes QR imprimés sur les billets qu'un nombre alarmant de voyageurs aiment photographier et poster sur les médias sociaux. Par exemple, pour l'utilisateur qui a posté la photo ci dessous sur Instagram, il a téléchargé l'image du code QR sur Inlite (un lecteur en ligne de code bar). Il a obtenu des informations parmi lesquels le nom de l'individu et la référence de réservation. Ces deux informations ont été suffisantes pour obtenir le PNR de cet individu sur le site de Luftansa. Notons qu'il a pu également consulter des informations sur des vols qui n'étaient même pas sur cette compagnie.


    De nombreux sites web de réservation de vol ne mettent pas de limites sur le nombre de codes incorrects que les gens peuvent entrer avant qu'ils ne soient bloqués, ce qui les rend vulnérables aux attaques par force brute. Les chercheurs ont prouvé qu'ils étaient en mesure de trouver des codes de réservation correspondant à des noms populaires en quelques minutes en utilisant des méthodes automatisées.

    De plus, pour les codes de réservation, les GDS n’utilisent que des lettres majuscules. L'un d'entre eux n'utilise pas les “1” et les “0” pour éviter toute confusion avec les lettres “I” et “O” et deux d'entre eux procèdent à une augmentation séquentielle des codes de réservation, ce qui peut donner à l'attaquant une idée de la gamme de codes dans laquelle il doit chercher sur une période de temps donnée.

    Les agences de voyages ont leurs propres identifiants de connexion aux GDS et ces comptes ont des mots de passe très faibles. Dans un cas, le mot de passe était WS, pour “web service”, suivi de la date à laquelle le login a été créé au format JJMMAA. Si ce mot de passe peut facilement être obtenu par force brute, les chercheurs ont indiqué qu’il s’agissait là de l’un des mots de passe les plus complexes qu’ils ont trouvés.

    En plus de pouvoir accéder aux informations des passagers, un attaquant pourrait aller plus loin en ajoutant par exemple son numéro aux vols longs courriers d’autres voyageurs pour gagner des miles. D’ailleurs, selon les chercheurs, cette technique est déjà utilisée. Les attaquants pourraient également annuler un vol et, si le billet est flexible, utiliser le crédit accordé par la compagnie aérienne pour réserver un billet différent pour eux-mêmes.

    De plus, savoir les plans de voyage exacts d’une personne peut favoriser les attaques de type hameçonnage étant donné que si la personne reçoit un mail qui semble provenir de la compagnie aérienne qu’il a récemment contactée pour réserver un vol et qui lui signifie par exemple que le paiement a échoué, s’il est invité à entrer à nouveau les données de sa carte de crédit pour relancer le processus il sera plus enclin à le faire.

    Source : vidéo de l'exposé des chercheurs

  2. #2
    Membre habitué
    Homme Profil pro
    Développeur .NET
    Inscrit en
    Juin 2012
    Messages
    80
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : Aéronautique - Marine - Espace - Armement

    Informations forums :
    Inscription : Juin 2012
    Messages : 80
    Points : 163
    Points
    163
    Par défaut
    Travaillant pour une entreprise du secteur, sans rentrer dans les détails et en vulgarisant l'information, je ne peux que confirmer. Les normes sont établies depuis longtemps, personne ne souhaite revenir dessus.
    Une entreprise leader, pourquoi va t'elle modifier le standard sous risque de faire exploser le système? Surement pas si seule madame Michu risque un peu de fishing.

    tout le monde commence à flipper rien qu'à évoquer le sujet de refaire un modéle, une sécurité, un webService... Imaginez-vous dans les systèmes des années 90 où tout le monde est passé dessus comme une veille salope.

    - Allo, ça va bernard?
    - mouai
    - on gére le bousin qui fait tourner tous les avions du monde
    - mouai
    - 2 cons disent que c'est pas sécurisé. Il faut tout refaire et dire à tout le monde de refaire leur webService et leur API pour madame Michu
    - mouai
    - Combien de temps?.... si les avions acceptent de ne plus voler pendant 2 ou 3 ans, y'a une chance?
    - mouai

  3. #3
    Expert confirmé
    Avatar de TiranusKBX
    Homme Profil pro
    Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Inscrit en
    Avril 2013
    Messages
    1 476
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Seine et Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur C, C++, C#, Python, PHP, HTML, JS, Laravel, Vue.js
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Avril 2013
    Messages : 1 476
    Points : 4 806
    Points
    4 806
    Billets dans le blog
    6
    Par défaut
    Ce n'est pas une nouveauté que l'on sache que les systèmes de réservation des compagnies aériennes sont largement dépassé vus les attaques sur les systèmes de grandes compagnies ces 5 dernières années, mais personne n'à eus envie de faire des changements car c'est du fric facile

  4. #4
    MikeRowSoft
    Invité(e)
    Par défaut
    Pour le touriste c'est plus sécurisé.
    Passagers[*] ->> agences de voyages[*] && contraintes des services gouvernementaux[*] ->> contraintes des services sanitaires && médicaux[*] ->> compagnies aériennes[*] ->> aéroports[*] ->> douanes[*] ->> avions ou autres... (faut bien dépilé après dans certains cas, surtout les voyages Internationaux[*]...).

    Qui sais quoi et qui fait quoi va encore manquer de collaborations ou se reposer trop confiant sur les autres...

  5. #5
    Membre éprouvé
    Profil pro
    Inscrit en
    Décembre 2004
    Messages
    586
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Décembre 2004
    Messages : 586
    Points : 1 147
    Points
    1 147
    Par défaut
    Pour le touriste c'est plus sécurisé.
    Oui :
    Passagers[*] = PC sans doute assez facilement pénétrable...
    ->> agences de voyages[*] = fuites de données possibles
    && contraintes des services gouvernementaux[*] = fuites de données possibles
    ->> contraintes des services sanitaires && médicaux[*] = fuites de données possibles
    ->> compagnies aériennes[*] = fuites de données possibles
    ->> aéroports[*] = fuites de données possibles
    ->> douanes[*] = fuites de données possibles
    ->> avions ou autres... = peut-être le seul endroit où on ne risque pas de fuites de données...si on n'a pas un téléphone avec bluetooth, wifi ou données activés...

  6. #6
    MikeRowSoft
    Invité(e)
    Par défaut
    Citation Envoyé par Thorna Voir le message
    Oui :
    Passagers[*] = PC sans doute assez facilement pénétrable...
    ->> agences de voyages[*] = fuites de données possibles
    && contraintes des services gouvernementaux[*] = fuites de données possibles
    ->> contraintes des services sanitaires && médicaux[*] = fuites de données possibles
    ->> compagnies aériennes[*] = fuites de données possibles
    ->> aéroports[*] = fuites de données possibles
    ->> douanes[*] = fuites de données possibles
    ->> avions ou autres... = peut-être le seul endroit où on ne risque pas de fuites de données...si on n'a pas un téléphone avec bluetooth, wifi ou données activés...
    Visa professionnel... sa va être drôle... Services postaux ?

  7. #7
    Membre expérimenté

    Homme Profil pro
    retraité
    Inscrit en
    Novembre 2004
    Messages
    389
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : retraité
    Secteur : Service public

    Informations forums :
    Inscription : Novembre 2004
    Messages : 389
    Points : 1 595
    Points
    1 595
    Par défaut
    Ah, c'est donc comme ça que des terroristes parviennent à prendre un vol ?

  8. #8
    Membre éclairé
    Avatar de shwin
    Profil pro
    Inscrit en
    Novembre 2003
    Messages
    568
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations forums :
    Inscription : Novembre 2003
    Messages : 568
    Points : 777
    Points
    777
    Par défaut
    "Ah, c'est donc comme ça que des terroristes parviennent à prendre un vol ?"

    C'est pas une agence de voyages ou un appel à une cie aérienne qui empêche quelqu'un de malveillant de voyager..

    Passport, douane, liste d'interdit de vols etc se sont les barrages.

    Les GDS sont des grosse tortue qui bougent pas facilement. Il y a présentement des discussion avec eux pour le changement du standard d'échange de données pour passé au xml et c'est très laborieux car ca touche beaucoup de tierce partie.-

  9. #9
    Membre régulier
    Profil pro
    Inscrit en
    Juillet 2010
    Messages
    53
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2010
    Messages : 53
    Points : 72
    Points
    72
    Par défaut
    Il n'y a pas que l'aérien: le système de réservation de la SNCF est aussi un GDS...

Discussions similaires

  1. Est il possible de modifier les parametres des GPO par script
    Par une_tite_question dans le forum Windows
    Réponses: 0
    Dernier message: 20/07/2010, 17h10
  2. Google Wave est-il plus facile à comprendre que les Femmes ?
    Par Gordon Fowler dans le forum Actualités
    Réponses: 3
    Dernier message: 12/10/2009, 16h00
  3. Réponses: 1
    Dernier message: 18/07/2007, 01h02
  4. [Clés primaires] Est ce possible de les modifier ?
    Par dynexd dans le forum Access
    Réponses: 3
    Dernier message: 29/09/2006, 15h03
  5. Débutant - Est-il possible de modifier les tags ?
    Par Robinreg7 dans le forum XML/XSL et SOAP
    Réponses: 1
    Dernier message: 02/02/2006, 18h53

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo