Ne postez pas de photo de votre billet d’avion sur Instagram !

Instagram est au cœur d’une nouvelle polémique. En effectuant des recherches assez poussées, deux experts en cybersécurité ont réalisé qu’il était extrêmement facile de modifier les informations associées au passager d’un vol en s’appuyant sur la photo de sa carte d’embarquement. La prochaine fois, il sera donc préférable de vous abstenir de la prendre en photo et de la publier sur le réseau social. Ni sur celui-ci ni sur aucun autre.

Karsten Nohl et Nemanga Nikodijevic ont profité de la 33e édition du Chaos Communication Congress pour faire la démonstration de leur technique.

Sécurité billet avion

Quoi que vous fassiez, évitez soigneusement de publier la photo de votre billet d’avion ou de votre carte d’embarquement.

Une technique plutôt simple au demeurant, car elle consiste tout simplement à utiliser les informations fournies par les voyageurs pour accéder à leurs données personnelles.

Global Distribution System : une plateforme centralisée et vulnérable

Les compagnies aériennes s’appuient en effet toutes sur les mêmes systèmes de réservation, des systèmes le plus souvent fournis par Amadeus, Sabre et Travelport. Peu de gens le savent, mais ces dernières renvoient tous vers la même plateforme de réservation centralisée : Global Distribution System.

Cette dernière a les reins solides et elle est ainsi capable de gérer quotidiennement des millions de réservations. En 2015, par exemple, Amadeus l’a utilisée pour traiter les données de 747 millions de passagers pour le compte de plusieurs compagnies aériennes, des compagnies comme Lufthansa, Iberia ou Air France.

Global Distribution System n’est cependant pas de toute première jeunesse. La plateforme a été créée dans les années 60 et elle n’a pas beaucoup évolué depuis. C’est un réel problème, car elle ne répond pas non plus aux nouvelles exigences en matière de sécurité et les données contenues dans ses bases ne sont donc pas suffisamment protégées.

Preuve en est, pour accéder aux données de leur dossier, les voyageurs n’ont pas besoin de définir un mot de passe. Il leur suffit de saisir leur nom et leur code de réservation, un code comprenant seulement six caractères et figurant sur leur carte d’embarquement ou même sur les étiquettes de leurs précieux bagages.

Les passagers n’en ont pas conscience et il suffit ainsi de lancer une recherche sur Instagram pour trouver de nombreuses photos présentant des cartes d’embarquement, des cartes sur lesquelles figurent toutes ces informations.

Le problème est toujours entre l’écran et la chaise

En utilisant ces données, il est donc possible d’accéder aux dossiers de tous les voyageurs partageant ces photos. À partir de là, une personne malveillante pourrait annuler des réservations ou même commander un nouveau vol sans la moindre difficulté, et sans avoir besoin de casser un quelconque système de sécurité.

Karsten Nohl a expliqué durant son intervention que plusieurs personnes avaient utilisé cette méthode pour voyager dangereusement, ou même pour récupérer des données sur certains voyageurs.

Le pire reste à venir, car le système de logs de la plateforme fonctionne uniquement pour les accès en écriture, pas pour les accès en lecture. Autrement dit, si quelqu’un a consulté votre dossier, GDS n’aura aucun moyen de le savoir.

Certains systèmes de réservation ont tenu à prendre la parole et à s’exprimer au sujet de cette faille. C’est notamment le cas d’Amadeus. Un porte-parole de l’entreprise a ainsi confirmé l’existence “d’une faille de maintenance temporaire”, une faille qui aurait laissé filtrer une dizaine de requêtes automatiques par le passé. Nohl ne l’entend cependant pas de cette oreille, car son équipe a testé environ deux millions de combinaisons différentes.

Ce dernier a cependant tenu à rassurer l’auditoire. D’après lui, plusieurs systèmes ont mis en place de nouvelles mesures afin de sécuriser l’accès à ces données. En attendant, il sera tout de même préférable de ne pas publier de photo de votre billet d’avion ni d’aucun autre document du même genre.

Mots-clés instagramsécurité