Les systèmes de réservation de voyages utilisés chaque jour par des millions de personnes sont extrêmement mal sécurisés et ne sont pas protégés par des méthodes d'authentification actuelles. Selon une équipe de chercheurs qui a analysé cet écosystème en ligne, des attaquants peuvent modifier facilement les réservations d'autres personnes, annuler leurs vols et même utiliser des remboursements de billets pour réserver des places d’avion à leur nom. Karsten Nohl et Nemanja Nikodijevic, deux chercheurs du consultant Security Research Labs basé à Berlin, ont passé des mois à étudier la sécurité des Global Distribution Systems (GDS), ces logiciels de prestation de voyage utilisés par les agences de voyages, les compagnies aériennes, les hôtels et les sociétés de location de voitures. Ils ont présenté leurs résultats mardi lors du 33e Chaos Communications Congress qui se tient du 27 au 30 décembre à Hambourg. Rappelons qu'en 2015, l'expert en cyber-sécurité Brian Krebs avait déjà signalé les risques liés à la mauvaise sécurité des cartes d'embarquement.
Les GDS sont des bases de données qui remontent à l'ère du mainframe et contiennent toutes les informations sur les réservations de voyage comme le nom du passager, les dates de voyage, l’itinéraire, les détails du billet, les contacts téléphoniques et électroniques, les informations de passeport, les numéros de carte de crédit et de bagages. Toutes ces données constituent les dossiers passagers appelés Passenger Name Records (PNR). Sabre, Travelport et Amadeus sont les trois principaux opérateurs GDS dans le monde et ensemble, ils stockent à tout moment les PNR de centaines de millions de voyageurs. Toutes les données ajoutées ou les modifications apportées à une réservation sont stockées dans leurs systèmes et, en général, il suffit du nom de famille du passager et d’un code de réservation à six caractères pour accéder à ces informations.
Des entrées multiples
Il existe plusieurs moyens d’entrer dans ces systèmes. D’abord, les sites Web exploités par les compagnies aériennes et les agences de voyages, mais aussi des sites tiers comme CheckMyTrip. Même si certains d'entre eux demandent plus d'informations que d'autres pour authentifier les utilisateurs - comme le prénom en plus du nom de famille - le niveau de protection du dossier PNR est le maillon le plus faible de la chaîne. Par exemple, si une réservation inclut des vols avec différentes compagnies aériennes, la totalité de la réservation peut être consultée et modifiée à partir du site Web de l'une des compagnies aériennes qui opèrent les différentes étapes du voyage.
Le code de réservation lui-même est loin d'être secret. Il est imprimé sur les étiquettes de bagages que la plupart des gens jettent après chaque vol - même quand ils n’ont pas encore effectué la totalité de leur voyage. Ce code est également incorporé dans les QR codes imprimés sur les billets que nombre de voyageurs photographient et postent sur les médias sociaux, comme l’ont fait remarquer les deux chercheurs. Par ailleurs, la plupart des sites des compagnies aériennes et de réservation ne limitent pas le nombre de codes incorrects au-delà duquel le compte est bloqué, ce qui les rend vulnérables aux attaques par force brute. Les chercheurs ont montré qu'ils pouvaient trouver les codes de réservation correspondant à des patronymes courant en quelques minutes en utilisant des méthodes automatisées.
De plus, parce que les GDS utilisent uniquement des lettres majuscules pour ces codes de réservation, le nombre de possibilités est encore plus réduit. L'un des systèmes n'utilise pas les 1 et les 0 afin d’éviter toute confusion avec les lettres I et O et deux d'entre eux augmentent les codes de manière séquentielle ce qui peut aider un attaquant à connaître la gamme de codes à rechercher sur une période donnée. Les agences de voyages ont leurs propres identifiants de connexion aux GDS, mais les mots de passe de leurs comptes sont très faibles. Les chercheurs ont même trouvé un mot de passe qui se limitait aux deux lettres WS, pour Web Service, suivi de la date à laquelle le login a été créé au format JJMMAA. Ce genre de code ne résiste pas à une attaque par force brute et selon les chercheurs, c’est l’un des mots de passe les plus complexes utilisé par les agences de voyages.
Attention aux attaques par pishing
Non seulement l'accès aux données de réservation d’un autre passager constitue une violation évidente de la vie privée, mais les attaquants peuvent abuser de cet accès à leur propre bénéfice. Par exemple, ils pourraient ajouter leur numéro d’abonnés au programme « grand voyageur » sur des vols long-courriers effectués par d’autres passagers pour acquérir des milles de récompense pour eux-mêmes (avec certaines compagnies seulement). Les chercheurs ont déclaré que le fait était connu et que la technique était déjà employée. « Les attaquants pourraient également annuler un vol, et si le billet est modifiable, ils pourraient utiliser le remboursement accordé par la compagnie aérienne pour réserver un autre billet pour eux-mêmes », ont encore déclaré les chercheurs.
Autre conséquence : le fait de savoir exactement quels voyages doit effectuer une personne peut permettre à des pirates de mener de redoutables attaques de phishing. Les attaquants pourraient envoyer au passager un courrier électronique à l’en-tête de la compagnie aérienne sur laquelle le vol a été réservé en disant que le paiement a échoué et qu’il doit effectuer une nouvelle réservation en fournissant à nouveau les détails de sa carte de crédit. La plupart des gens se plieraient probablement à la demande sans vérifier si le courrier électronique est authentique. « Pour couronner le tout, il n'y a pas de logs dans ces bases de données GDS. Et puisqu'il n'y a pas de journalisation, il n'y a aucun moyen de savoir qui a accédé à telle donnée, ni combien de fois le système a été abusé », ont ajouté les chercheurs.
Renforcer la sécurité avec un mot de passe
Dans l’idéal, il faudrait que ces systèmes exigent des mots de passe appropriés pour accéder aux PNR individuels. « Mais c'est un objectif à très long terme : il faut en effet que tous les acteurs de l'écosystème - agences de voyages, compagnies aériennes, hôtels, compagnies de location de voitures, etc. - soient d’accord pour appliquer ces changements et les mettent en place au même rythme », a déclaré Karsten Nohl. « À court terme, il faudrait au moins que les sites Web qui donnent accès aux informations personnelles des voyageurs adoptent les standards minimums de sécurité, en limitant notamment le nombre de codes erronés », a déclaré le chercheur. « Tant que les mots de passe et les autres mesures de sécurité ne sont pas appliqués, nous avons le droit de savoir qui accède à nos dossiers. Il faut une certaine responsabilisation, surtout quand on connaît le niveau de sécurité de ces systèmes aujourd’hui ».
Un peu pléonasmique comme titre "La sécurité des réservations de vol toujours mal sécurisée" et une petite typo sur "pishing" au lieu de "phishing".
Signaler un abusCe proof of concept est dans la droite ligne de tous ces systèmes hérités du 20e siècle sans aucune prise de recul : cartes à puces (conception années 70), ordinateur de bord des voitures (conception années 90)... il y en a une bonne liste ici : rocketprojet.com/cybercriminalite-tous-coupables/
Quant aux hôteliers, comme l'évoque newsoftpclab, il y a pire que leur accès aux données de vol : les données de réservation faites sur booking.com par exemple leur sont transmises en grande majorité par fax, sinon par e-mail qu'ils impriment et gardent sur leur bureau de réception. Avec les coordonnées de carte bancaire en clair, et sans surveillance quand ils sont au petit coin...
C'est vrai que ce serait intéressant de savoir qui accède aux données des vols des passagers autre que les voyagistes et es hôteliers!
Signaler un abus