Alors que l’Europe en est encore à tergiverser autour du polémique dossier du PNR (pour Passenger Name Records) dans le cadre de la lutte contre le terrorisme notamment, les données que cet acronyme recèle sont vulnérables au moindre piratage.
C’est ce que révèlent deux chercheurs en sécurité informatique du Research Security Labs dans leur dernière étude présentée lors de la 33e édition du Chaos Communication Congress (CCC), le plus grand évènement annuel sur le hacking. Celle-ci lève le voile sur les failles des principaux systèmes de réservation de vol en ligne – Amadeus, Sabre et Travelport – qui ne bénéficient pas d’outil d’authentification élémentaire, à l’heure des authentifications à deux ou trois niveaux.
Ces Global Distribution Systems (GDS) font le lien entre les sites internet proposant des billets d’avion et les compagnies aériennes.
« Alors qu’une majorité du débat sur Internet porte aujourd’hui sur des outils d’authentification à deux ou trois niveaux, les GDS ne proposent même pas d’authentification de premier niveau », alerte l’étude.
Une révélation embarrassante, si ce n’est dangereuse, alors le PNR, un code à 6 chiffres, comprend des données telles que le nom du voyageur, son numéro de téléphone et son email, ainsi que ses informations de vol (dates du voyage, itinéraire, compagnie aérienne, numéro de siège, bagages) ou son numéro de carte de crédit.
Reuters rapporte ainsi que les chercheurs n’ont eu besoin que du nom du passager pour récupérer, dans l’heure, les codes de réservations associés et accéder à l’ensemble de ses informations de voyage.
« Aucun hacking n’a été nécessaire » pour récupérer ces données, puisque la plupart sont accessibles en quelques clics. Il suffit la plupart du temps de récupérer la référence de réservation et le nom du passager, qui se trouvent sur la carte d’embarquement que les voyageurs en goguette s’empressent parfois de publier sur les réseaux sociaux.
Le passager ne peut protéger ses informations, un mot de passe est généré automatiquement par la compagnie aérienne, ne lui laissant souvent pas le choix d’en créer un personnalisé. Les voyageurs ne sauront jamais si quelqu’un a accédé ou non à leurs données.
Avec ces informations et la faible sécurisation de ce système de réservation, une personne mal intentionnée peut même modifier, voire annuler,, le vol d’un voyageur ou le prendre à sa place détaille l’étude. Les chercheurs ont même pu se faire rembourser en point fidélité le vol Munich-Seattle d’une passagère qui avait eu l’imprudence de publier sa carte d’embarquement sur Instagram.
Les chercheurs du Research Security Labs recommandent donc de mettre en place des outils de sécurité renforcés, tel qu’un mot de passe pour que le voyageur puisse accéder à sa réservation.
Les principaux GDS mis en cause assurent prendre en compte ces recherches pour garantir la sécurité de leur système. Seul Travelport s’est abstenu de tout commentaire.
Si la sécurité des vols a été renforcés en marge du 11 septembre, force est de constater qu’elle s’est faite au détriment des données passagers.
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
Une fois de plus on constate que les données intéressent les sociétés mais qu’elle se foutent totalement de la sécurité des datas des clients.
Car à ce niveau on ne peut plus dire qu’ils ne savent pas vu tout le battage qui est fait sur la sécurité et le piratage.
Devant un tel laxisme et un tel mépris des clients ces sociétés devraient être très lourdement sanctionnées.