Les données fournies par les passagers aux systèmes de réservation de vols en ligne sont vulnérables de longue date aux détournements et aux piratages : c’est ce que révèle une étude publiée par Security Research Labs, des spécialistes en sécurité installés à Berlin.
Le groupe, qui travaille comme consultant pour de grandes entreprises, a pu, grâce au simple nom de famille de différents passagers et à des outils informatiques, trouver facilement leurs codes de réservation et ainsi accéder à toutes les informations de voyage contenues dans les PNR (Passenger Name Record, les données des dossiers passagers) : nom, dates de voyage, email, numéro de téléphone et de carte bancaire…
Les réservations peuvent facilement être modifiées par des personnes mal intentionnées
Ces données sont loin d’être sécurisées sur les principaux systèmes en vigueur dans le monde — Amadeus, Sabre et Travelport — : il suffit de saisir ce numéro à 6 chiffres pour y accéder, sans même recourir à un nom d’utilisateur et à un mot de passe, ce qui facilite considérablement la tâche des bots programmés pour commettre des attaques.
Les chercheurs ont ainsi montré qu’ils pouvaient, à partir d’une simple photo Instagram de billet d’avion — une pratique répandue — récupérer le fameux code et ainsi, selon le degré de flexibilité de la réservation, modifier celle-ci à sa convenance, voire bénéficier eux-mêmes du voyage.
Les responsables de l’étude l’affirment : « Tandis qu’une majorité du débat sur Internet porte aujourd’hui sur des outils d’authentification à deux ou trois niveaux, ces trois systèmes ne proposent même pas d’authentification de premier niveau. » Une anomalie remarquée alors que ces outils sécurisés se multiplient — un numéro de téléphone associé notamment –, quand certains ne sont pas déjà utilisés de longue date, à l’instar des questions de sécurité.
Security Research Labs souligne que les passagers ne peuvent ni savoir qui a accédé à leur informations, ni sécuriser ces codes puisqu’ils sont générés automatiquement par les compagnies aériennes qui recourent à ces systèmes. L’équipe appelle donc à adopter des méthodes de sécurité telles qu’une limitation du nombre de requêtes sur le PNR par adresse IP et la possibilité pour les usagers de choisir un mot de passe personnalisé.
CC David Montiverdi
Karsten Nohl, le co-responsable de l’étude, qui avait déjà mis en avant les failles de sécurité concernant les téléphones et les voitures, estime qu’Amadeus est, parmi ces trois systèmes, le plus vulnérable. Une porte-parole de l’entreprise a affirmé à Reuters que cette dernière étudiait ces résultats, et qu’Amadeus protégeait déjà son système : « Nous prendrons ces découvertes en compte avec nos collaborateurs pour résoudre ces problèmes et chercher des solutions à ces problèmes potentiels. »
Même son de cloche du côté de Sabre, qui se refuse en revanche à détailler ses mesures de sécurité pour éviter de les exposer, alors que Travelport n’a pas souhaité répondre à Reuters.
Ces dangers sont loin d’être nouveaux : ils avaient été évoqués par Edward Hasbrouck, un spécialiste de la question, au lendemain des changements adoptés après le 11-Septembre, qui se concentraient sur la sécurité des vols au détriment de la protection des données personnelles.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
