Il est facile de modifier les réservations de vol d'autres personnes
à cause de la sécurité des systèmes de réservation bloquée aux années 90

Le , par Stéphane le calme, Chroniqueur Actualités
Selon une équipe de chercheurs en sécurité, les systèmes de réservation de voyage en ligne, utilisés chaque jour par des millions de personnes, ne disposent pas de méthode modernes d’authentification. Ce qui fait que des pirates sont en mesure de modifier facilement les réservations d'autres personnes, annuler leurs vols et même utiliser les remboursements pour se réserver des billets.

Karsten Nohl et Nemanja Nikodijevic, du cabinet Security Research Labs basé à Berlin, ont passé des mois à étudier la sécurité employée par Global Distribution Systems (GDS), un logiciel de gestion des réservations de prestation de voyage (hôtel, sociétés de location de voiture, camping, avion) très populaire pour les tour opérateurs. GDS permet à ces tour opérateurs de connaître en temps réel les prestations, les disponibilités et leur prix. Ils ont présenté les résultats de leur analyse durant le Chaos Communications Congress à Hambourg.

La base de données de GDS contient donc des informations sur les réservations de voyage. Il peut s’agir par exemple du nom du voyageur, ses dates de voyage, son itinéraire, les détails relatifs à son billet, ses contacts téléphonique et électronique, les informations sur son passeport etc. L’enregistrement dans une base de données des informations qu'une compagnie aérienne juge nécessaires pour établir une réservation de vol constitue des données des dossiers passagers (ou PNR, pour l'anglais Passenger Name Record) ; il est constitué d’éléments obligatoires (nom, itinéraire, contact, informations de ticket) et d’autres éléments qui sont considérés comme complémentaires (réservation d’hôtel, de voiture, etc.). Notons qu’au niveau de l’Europe, le PNR a été enfin soumis au vote du Parlement européen le jeudi 14 avril 2016, après 12 ans de débat, et a été adopté à la faveur d'une large majorité (461 voix pour contre 179 contre et 9 abstentions).


Les trois principaux opérateurs GDS dans le monde sont Sabre, Travelport et Amadeus. Ensemble, ils sauvegardent des informations sur des millions de voyageurs. Toutes les données ajoutées ou toutes modifications apportées à une réservation sont stockées dans leurs systèmes et tout ce qui est nécessaire pour accéder à ces informations est généralement un nom de famille et un code de réservation de six caractères.

Il y a plusieurs points d'accès à ces systèmes et cela comprend les sites web exploités par les compagnies aériennes et les agences de voyages, mais aussi des sites tiers tels que CheckMyTrip. Même si certains d'entre eux demandent plus d'informations que d'autres pour authentifier les utilisateurs comme le prénom en plus du nom de famille, le niveau de protection d'un PNR est finalement celui du maillon le plus faible de la chaîne.


Par exemple, si une réservation inclut des vols avec différentes compagnies aériennes, la réservation peut être consultée et modifiée à travers les sites web de l'une des compagnies aériennes qui opèrent les différentes étapes du voyage.

Le code de réservation lui-même est loin d'être secret. Parmi les endroits où il figure, les chercheurs notent qu’il est incorporé dans les codes QR imprimés sur les billets qu'un nombre alarmant de voyageurs aiment photographier et poster sur les médias sociaux. Par exemple, pour l'utilisateur qui a posté la photo ci dessous sur Instagram, il a téléchargé l'image du code QR sur Inlite (un lecteur en ligne de code bar). Il a obtenu des informations parmi lesquels le nom de l'individu et la référence de réservation. Ces deux informations ont été suffisantes pour obtenir le PNR de cet individu sur le site de Luftansa. Notons qu'il a pu également consulter des informations sur des vols qui n'étaient même pas sur cette compagnie.


De nombreux sites web de réservation de vol ne mettent pas de limites sur le nombre de codes incorrects que les gens peuvent entrer avant qu'ils ne soient bloqués, ce qui les rend vulnérables aux attaques par force brute. Les chercheurs ont prouvé qu'ils étaient en mesure de trouver des codes de réservation correspondant à des noms populaires en quelques minutes en utilisant des méthodes automatisées.

De plus, pour les codes de réservation, les GDS n’utilisent que des lettres majuscules. L'un d'entre eux n'utilise pas les “1” et les “0” pour éviter toute confusion avec les lettres “I” et “O” et deux d'entre eux procèdent à une augmentation séquentielle des codes de réservation, ce qui peut donner à l'attaquant une idée de la gamme de codes dans laquelle il doit chercher sur une période de temps donnée.

Les agences de voyages ont leurs propres identifiants de connexion aux GDS et ces comptes ont des mots de passe très faibles. Dans un cas, le mot de passe était WS, pour “web service”, suivi de la date à laquelle le login a été créé au format JJMMAA. Si ce mot de passe peut facilement être obtenu par force brute, les chercheurs ont indiqué qu’il s’agissait là de l’un des mots de passe les plus complexes qu’ils ont trouvés.

En plus de pouvoir accéder aux informations des passagers, un attaquant pourrait aller plus loin en ajoutant par exemple son numéro aux vols longs courriers d’autres voyageurs pour gagner des miles. D’ailleurs, selon les chercheurs, cette technique est déjà utilisée. Les attaquants pourraient également annuler un vol et, si le billet est flexible, utiliser le crédit accordé par la compagnie aérienne pour réserver un billet différent pour eux-mêmes.

De plus, savoir les plans de voyage exacts d’une personne peut favoriser les attaques de type hameçonnage étant donné que si la personne reçoit un mail qui semble provenir de la compagnie aérienne qu’il a récemment contactée pour réserver un vol et qui lui signifie par exemple que le paiement a échoué, s’il est invité à entrer à nouveau les données de sa carte de crédit pour relancer le processus il sera plus enclin à le faire.

Source : vidéo de l'exposé des chercheurs


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de myNameIsFlo myNameIsFlo - Membre habitué https://www.developpez.com
le 02/01/2017 à 14:36
Travaillant pour une entreprise du secteur, sans rentrer dans les détails et en vulgarisant l'information, je ne peux que confirmer. Les normes sont établies depuis longtemps, personne ne souhaite revenir dessus.
Une entreprise leader, pourquoi va t'elle modifier le standard sous risque de faire exploser le système? Surement pas si seule madame Michu risque un peu de fishing.

tout le monde commence à flipper rien qu'à évoquer le sujet de refaire un modéle, une sécurité, un webService... Imaginez-vous dans les systèmes des années 90 où tout le monde est passé dessus comme une veille salope.

- Allo, ça va bernard?
- mouai
- on gére le bousin qui fait tourner tous les avions du monde
- mouai
- 2 cons disent que c'est pas sécurisé. Il faut tout refaire et dire à tout le monde de refaire leur webService et leur API pour madame Michu
- mouai
- Combien de temps?.... si les avions acceptent de ne plus voler pendant 2 ou 3 ans, y'a une chance?
- mouai
Avatar de TiranusKBX TiranusKBX - Expert confirmé https://www.developpez.com
le 02/01/2017 à 14:45
Ce n'est pas une nouveauté que l'on sache que les systèmes de réservation des compagnies aériennes sont largement dépassé vus les attaques sur les systèmes de grandes compagnies ces 5 dernières années, mais personne n'à eus envie de faire des changements car c'est du fric facile
Avatar de MikeRowSoft MikeRowSoft - Provisoirement toléré https://www.developpez.com
le 02/01/2017 à 16:40
Pour le touriste c'est plus sécurisé.
Passagers[*] ->> agences de voyages[*] && contraintes des services gouvernementaux[*] ->> contraintes des services sanitaires && médicaux[*] ->> compagnies aériennes[*] ->> aéroports[*] ->> douanes[*] ->> avions ou autres... (faut bien dépilé après dans certains cas, surtout les voyages Internationaux[*]...).

Qui sais quoi et qui fait quoi va encore manquer de collaborations ou se reposer trop confiant sur les autres...
Avatar de Thorna Thorna - Membre éprouvé https://www.developpez.com
le 02/01/2017 à 17:49
Pour le touriste c'est plus sécurisé.
Oui :
Passagers[*] = PC sans doute assez facilement pénétrable...
->> agences de voyages[*] = fuites de données possibles
&& contraintes des services gouvernementaux[*] = fuites de données possibles
->> contraintes des services sanitaires && médicaux[*] = fuites de données possibles
->> compagnies aériennes[*] = fuites de données possibles
->> aéroports[*] = fuites de données possibles
->> douanes[*] = fuites de données possibles
->> avions ou autres... = peut-être le seul endroit où on ne risque pas de fuites de données...si on n'a pas un téléphone avec bluetooth, wifi ou données activés...
Avatar de MikeRowSoft MikeRowSoft - Provisoirement toléré https://www.developpez.com
le 02/01/2017 à 18:21
Citation Envoyé par Thorna Voir le message
Oui :
Passagers[*] = PC sans doute assez facilement pénétrable...
->> agences de voyages[*] = fuites de données possibles
&& contraintes des services gouvernementaux[*] = fuites de données possibles
->> contraintes des services sanitaires && médicaux[*] = fuites de données possibles
->> compagnies aériennes[*] = fuites de données possibles
->> aéroports[*] = fuites de données possibles
->> douanes[*] = fuites de données possibles
->> avions ou autres... = peut-être le seul endroit où on ne risque pas de fuites de données...si on n'a pas un téléphone avec bluetooth, wifi ou données activés...
Visa professionnel... sa va être drôle... Services postaux ?
Avatar de Namica Namica - Membre éprouvé https://www.developpez.com
le 03/01/2017 à 1:54
Ah, c'est donc comme ça que des terroristes parviennent à prendre un vol ?
Avatar de shwin shwin - Membre éclairé https://www.developpez.com
le 05/01/2017 à 14:38
"Ah, c'est donc comme ça que des terroristes parviennent à prendre un vol ?"

C'est pas une agence de voyages ou un appel à une cie aérienne qui empêche quelqu'un de malveillant de voyager..

Passport, douane, liste d'interdit de vols etc se sont les barrages.

Les GDS sont des grosse tortue qui bougent pas facilement. Il y a présentement des discussion avec eux pour le changement du standard d'échange de données pour passé au xml et c'est très laborieux car ca touche beaucoup de tierce partie.-
Avatar de YAKYETI YAKYETI - Membre du Club https://www.developpez.com
le 05/01/2017 à 20:57
Il n'y a pas que l'aérien: le système de réservation de la SNCF est aussi un GDS...
Contacter le responsable de la rubrique Accueil