Modifier la réservation de vol de quelqu'un ou annuler ses billets à distance est un jeu d'enfant. La raison ? La plupart des compagnies aériennes utilisent un système de réservation aussi vieux que mal sécurisé. C'est en tout cas ce qu'ont expliqué des chercheurs en sécurité informatique lors du Chaos Communication Congress, ce mardi. Selon eux, la principale faille de ce système est l'absence de procédure d'authentification lorsque le client cherche à accéder à ses informations de vol.En outre, ce système est vieux de plusieurs dizaines années et est utilisé en masse malgré son manque de robustesse. Un problème suffisamment sérieux pour que les chercheurs décident de le médiatiser.« Lorsque vous partez en voyage, vous utilisez malgré vous ce système ou un système similaire » nous explique le chercheur Karsten Nohl, qui est intervenu lors de la conférence en compagnie de son collègue Nemanja Nikodijevic.Les deux hommes évoquent ici le Global Distribution Systems (GDS), un logiciel de gestion de réservation de prestation de voyage utilisé par les tours opérateurs, les agences de voyage et les compagnies aériennes partout dans le monde ; il permet notamment de réserver des billets d'avion sur des vols spécifiques.Lorsque quelqu'un achète un billet avion, la compagnie aérienne ou l'agent de voyage lui fournit généralement un code à 6 chiffres. Ce code suffit à consulter les informations de vol sur de nombreux sites web (celui de la compagnie aérienne par exemple), voire à modifier leur réservation afin de changer de destination, catégorie de place, etc.Le problème, c'est que ces codes sont très faciles à casser en utilisant la force brute ; il suffit de programmer un bot qui entre des séries de codes à 6 chiffres jusqu'à tomber sur un code associé à une réservation et à un nom de famille. La plupart des systèmes GDS se contentent de limiter le nombre de codes entrés sur leur site à la minute ou à la seconde – les chercheurs ont ainsi réussi à tester des millions de combinaisons possibles de manière automatique, et dans un temps très court.Les codes en question ne contiennent jamais de caractères 1 ou 0, afin d'éviter que les clients ne les confondent avec des I ou des O. Cela limite considérablement le nombre de combinaisons à tester. De plus, deux des plus importants GDS au monde utilisent des nombres qui augmentent de manière séquentielle, explique Nohl. Cela signifie qu'un pirate est en mesure de prédire quelle classe de nombres a la plus grande probabilité d'être utilisée à tel ou tel moment de la journée ou de la semaine, et qu'il sera beaucoup plus facile pour lui de tomber sur un code pertinent.Les codes eux-mêmes sont généralement mentionnés sur les étiquettes collées sur les bagages du voyageur, voire sur les cartes d'embarquement.Grâce à ces techniques, un pirate peut suivre un individu, et trouver sa ville de départ et sa destination. En collaboration avec la chaine de TV allemande ARD, les chercheurs ont réussi à modifier la réservation d'un reporter, le plaçant sur le même vol qu'un homme politique allemand, et même sur le siège voisin.« Deux millions de combinaisons ont suffi à dénicher le sénateur à partir de son nom de famille », explique Nohl à Motherboard.Cette faille dégage également des opportunités pour la fraude financière. Des pirates pourraient par exemple utiliser un compte de voyageur effectuant fréquemment des voyages longs et coûteux, afin d'annuler certains de ses voyages, recevoir un coupon de la compagnie aérienne en échange et utiliser ce dernier pour réserver un autre vol, explique Nohl.Selon Nohl, certaines compagnies aériennes auraient décidé d'adopter un système de limitation des entrées de code, afin de contrer les attaques en force brute. Cependant, tant que subsisteront des systèmes interconnectés qui n'ont jamais été conçus pour fonctionner par Internet, les informations de vol des voyageurs resteront vulnérables.« Nous avons révélé l'existence de cette faille de sécurité de manière responsable. Cependant, j'ai peur que cela n'ait aucun effet concret dans un avenir proche » déplore Nohl.
Publicité
Publicité