Il est facile de modifier les réservations de vol d'autres personnes,
des chercheurs indiquent une sécurité vieillissante des infrastructures des systèmes de réservation de voyage en ligne
Selon une équipe de chercheurs en sécurité, les systèmes de réservation de voyage en ligne, utilisés chaque jour par des millions de personnes, ne disposent pas de méthode modernes d’authentification. Ce qui fait que des pirates sont en mesure de modifier facilement les réservations d'autres personnes, annuler leurs vols et même utiliser les remboursements pour se réserver des billets.
Karsten Nohl et Nemanja Nikodijevic, du cabinet Security Research Labs basé à Berlin, ont passé des mois à étudier la sécurité employée par Global Distribution Systems (GDS), un logiciel de gestion des réservations de prestation de voyage (hôtel, sociétés de location de voiture, camping, avion) très populaire pour les tour opérateurs. GDS permet à ces tour opérateurs de connaître en temps réel les prestations, les disponibilités et leur prix. Ils ont présenté les résultats de leur analyse durant le Chaos Communications Congress à Hambourg.
La base de données de GDS contient donc des informations sur les réservations de voyage. Il peut s’agir par exemple du nom du voyageur, ses dates de voyage, son itinéraire, les détails relatifs à son billet, ses contacts téléphonique et électronique, les informations sur son passeport etc. L’enregistrement dans une base de données des informations qu'une compagnie aérienne juge nécessaires pour établir une réservation de vol constitue des données des dossiers passagers (ou PNR, pour l'anglais Passenger Name Record) ; il est constitué d’éléments obligatoires (nom, itinéraire, contact, informations de ticket) et d’autres éléments qui sont considérés comme complémentaires (réservation d’hôtel, de voiture, etc.). Notons qu’au niveau de l’Europe, le PNR a été enfin soumis au vote du Parlement européen le jeudi 14 avril 2016, après 12 ans de débat, et a été adopté à la faveur d'une large majorité (461 voix pour contre 179 contre et 9 abstentions).
Les trois principaux opérateurs GDS dans le monde sont Sabre, Travelport et Amadeus. Ensemble, ils sauvegardent des informations sur des millions de voyageurs. Toutes les données ajoutées ou toutes modifications apportées à une réservation sont stockées dans leurs systèmes et tout ce qui est nécessaire pour accéder à ces informations est généralement un nom de famille et un code de réservation de six caractères.
Il y a plusieurs points d'accès à ces systèmes et cela comprend les sites web exploités par les compagnies aériennes et les agences de voyages, mais aussi des sites tiers tels que CheckMyTrip. Même si certains d'entre eux demandent plus d'informations que d'autres pour authentifier les utilisateurs comme le prénom en plus du nom de famille, le niveau de protection d'un PNR est finalement celui du maillon le plus faible de la chaîne.
Par exemple, si une réservation inclut des vols avec différentes compagnies aériennes, la réservation peut être consultée et modifiée à travers les sites web de l'une des compagnies aériennes qui opèrent les différentes étapes du voyage.
Le code de réservation lui-même est loin d'être secret. Parmi les endroits où il figure, les chercheurs notent qu’il est incorporé dans les codes QR imprimés sur les billets qu'un nombre alarmant de voyageurs aiment photographier et poster sur les médias sociaux. Par exemple, pour l'utilisateur qui a posté la photo ci dessous sur Instagram, il a téléchargé l'image du code QR sur Inlite (un lecteur en ligne de code bar). Il a obtenu des informations parmi lesquels le nom de l'individu et la référence de réservation. Ces deux informations ont été suffisantes pour obtenir le PNR de cet individu sur le site de Luftansa. Notons qu'il a pu également consulter des informations sur des vols qui n'étaient même pas sur cette compagnie.
De nombreux sites web de réservation de vol ne mettent pas de limites sur le nombre de codes incorrects que les gens peuvent entrer avant qu'ils ne soient bloqués, ce qui les rend vulnérables aux attaques par force brute. Les chercheurs ont prouvé qu'ils étaient en mesure de trouver des codes de réservation correspondant à des noms populaires en quelques minutes en utilisant des méthodes automatisées.
De plus, pour les codes de réservation, les GDS n’utilisent que des lettres majuscules. L'un d'entre eux n'utilise pas les “1” et les “0” pour éviter toute confusion avec les lettres “I” et “O” et deux d'entre eux procèdent à une augmentation séquentielle des codes de réservation, ce qui peut donner à l'attaquant une idée de la gamme de codes dans laquelle il doit chercher sur une période de temps donnée.
Les agences de voyages ont leurs propres identifiants de connexion aux GDS et ces comptes ont des mots de passe très faibles. Dans un cas, le mot de passe était WS, pour “web service”, suivi de la date à laquelle le login a été créé au format JJMMAA. Si ce mot de passe peut facilement être obtenu par force brute, les chercheurs ont indiqué qu’il s’agissait là de l’un des mots de passe les plus complexes qu’ils ont trouvés.
En plus de pouvoir accéder aux informations des passagers, un attaquant pourrait aller plus loin en ajoutant par exemple son numéro aux vols longs courriers d’autres voyageurs pour gagner des miles. D’ailleurs, selon les chercheurs, cette technique est déjà utilisée. Les attaquants pourraient également annuler un vol et, si le billet est flexible, utiliser le crédit accordé par la compagnie aérienne pour réserver un billet différent pour eux-mêmes.
De plus, savoir les plans de voyage exacts d’une personne peut favoriser les attaques de type hameçonnage étant donné que si la personne reçoit un mail qui semble provenir de la compagnie aérienne qu’il a récemment contactée pour réserver un vol et qui lui signifie par exemple que le paiement a échoué, s’il est invité à entrer à nouveau les données de sa carte de crédit pour relancer le processus il sera plus enclin à le faire.
Source : vidéo de l'exposé des chercheurs
Partager