Sur les réseaux sociaux, ne postez jamais la photo de votre billet d’avion !
Publié le 30 décembre 2016 à 14:52 Aujourd'hui | 913 vues
Poster une photo de son billet d’avion sur Instagram ou Twitter est une très mauvaise idée car des personnes mal intentionnées peuvent facilement accéder à vos données et les modifier, alertent des experts en cyber sécurité informatique.
Sur les réseaux sociaux, les internautes aiment partager leur quotidien. Et quoi de plus réjouissant que d’indiquer aux autres que l’on part en vacances ? On prend alors en photo son billet d’avion et on le poste sur Instagram, par exemple. Sans oublier les fameux hashtag pour que tout le monde puisse voir que vous avez la chance de partir aux Caraïbes, à Los Angeles ou à Madrid. Si vous faites partie de ces personnes très connectées, oubliez tout de suite cette habitude !
Sur votre carte d’embarquement sont précisés votre code de réservation de six caractères et votre nom. Grâce à ces deux informations, des personnes malveillantes peuvent ainsi accéder à votre dossier de réservation et donc à toutes vos données comme votre place de vol, votre destination, vos coordonnées bancaires, etc. Elles peuvent même modifier ces informations. Ainsi, elles peuvent par exemple annuler votre vol voire prendre le vol à votre place. C’est en tout cas ce qu’ont démontré deux experts en cyber sécurité, Karsten Kohl et Nemanja Nikodijevic, lors de la 33ème réunion annuelle des hackers, le Chaos Communication Congress (CCC), le 27 décembre dernier.
Un système de réservation vulnérable
Selon eux, c’est à cause d’un système de réservation en ligne, utilisé par les compagnies aériennes et agences de voyages, à savoir le Global Distribution System (GDS), une plateforme de réservation centralisée. Toute la billetterie aérienne s’appuie sur ce système, géré par plusieurs acteurs comme Amadeus, Sabre et Travelport. Comme l’explique le site 01Net, il « permet de générer de façon unique une réservation, partout dans le monde et quel que soit la compagnie, l’agence ou le voyageur en question ». Le système gère ainsi des millions de réservations quotidiennement et avec, des données personnelles (nom, adresse mail, numéro de passeport, coordonnées bancaires) réunies au sein des dossiers passagers (PNR). Par exemple, en 2015, Amadeus l’a utilisé pour traiter les données de 747 millions de passagers pour le compte de plusieurs compagnies aériennes comme Lufthansa, Iberia ou Air France, précise Le Figaro.
Problème, le système est trop ancien (créé dans les années 1960) et l’accès aux dossiers n’est pas assez sécurisé. Ainsi, il suffit de se rendre sur le site Internet d’une compagnie aérienne et de rentrer le nom du voyageur et le code de réservation à 6 chiffres. Or, ces informations sont indiquées sur les billets et même sur les étiquettes des bagages. Et les réseaux sociaux sont une mine d’or pour trouver ces renseignements. Rares sont les sites qui demandent une information supplémentaire comme un mot de passe pour accéder au dossier. De plus, si le code n’est pas tout à fait visible, il est possible de le retrouver grâce au code-barres présent sur la carte d’embarquement. Pire, les pirates peuvent même obtenir un numéro de réservation associé à un nom en testant toutes les combinaisons possibles du code à 6 chiffres. D’ailleurs, ce n’est pas si compliqué que cela. Chez Amadeus, les numéros attribués se suivent dans le temps. Chez Sabre, les premiers et derniers caractères sont toujours des lettres. « Mais surtout, beaucoup de sites Web de compagnies aériennes ne limitent pas le nombre de requêtes envoyées, ce qui permet d’essayer automatiquement tous les codes possibles- jusqu’à ce que cela marche », indique Le Figaro.
«Depuis notre étude, certains [GDS] ont commencé à mettre en place des dispositifs comme des captchas ou un plafond de requêtes par adresse IP», a indiqué Karsten Nohl lors de la conférence. En attendant, on s’abstiendra de publier la photo de son billet d’avion sur les réseaux sociaux.
