#flighttickets : attention aux photos de billets d’avion !

un nuage de mots-clés sur la cyber sécurité
pixabay.com

Fin 2016, le rendez-vous annuel de la scène hacker internationale “Chaos Communication Congress” a eu lieu à Hambourg (Allemagne). Lors de ce congrès, des échanges intensifs ont eu lieu sur la sécurité d’Internet, la politique sur le net et d’autres sujets techniques et sociaux. Traditionnellement, les vulnérabilités et les hacks sont régulièrement discutés lors du congrès.

Le “cloud le plus ancien du monde”

En revanche, cette année, l’accent n’était pas mis sur un système d’exploitation moderne ou un nouveau gadget, mais sur le “cloud le plus ancien du monde”, à savoir le système de réservations de vol. Toute compagnie aérienne doit pouvoir communiquer ses sièges libres à toute autre compagnie aérienne ainsi qu’aux agences et organisateurs de voyage. Malheureusement, ce système est très ancien et, au moment de son développement, très peu d’importance a été accordée à la sécurité.

Toute personne qui réserve un vol se voit attribuer un code à six chiffres, le numéro de réservation. Ce code est également imprimé sur le billet d’avion, le plus souvent sous forme de code-barres. Pour la plupart des compagnies aériennes, ce code, associé au nom de famille, suffit pour se connecter à son système en ligne, puis pour s’enregistrer en ligne avant le vol par exemple. Ou pour enregistrer une carte avantage, telle que “Miles and More”, changer de siège, voire même annuler ou modifier son vol. Pour cela, il suffit de saisir le nom de famille et le code de réservation à six chiffres imprimés sur le billet.

Les billets d’avions sont des proies faciles pour les hackeurs

Pour les hackeurs, il est très facile d’exploiter ce système à des fins malveillantes. Outre les attaques par force brute un peu plus compliquées, il existe un moyen très simple pour obtenir une combinaison de nom et de numéro de réservation valable : rechercher sur Instagram les photos avec le hashtag #flighttickets. En effet, nombreuses sont les personnes qui se soucient très peu que leur billet d’avion comporte des informations qui permettraient à quiconque de modifier leur réservation de vol. On retrouve ces photos également sur d’autres réseaux sociaux.

La plupart des hackeurs qui utilisent ce moyen tentent d’accumuler des “Miles” avec une carte avantage pour ainsi gagner facilement de l’argent. Si la personne concernée ne possède pas de carte avantage, il n’y aura probablement pas de préjudices. Cependant, dans certains cas, il est possible d’annuler ou de modifier un vol. Donc : ne publiez pas de photos de vos billets d’avion sur Instagram ou sur d’autres réseaux sociaux ! Si vous souhaitez vraiment le faire, cachez le nom et le code-barres. Mais, comme pour tout document important, il vaut mieux ne pas les rendre accessibles à tout chacun sur Internet.

Source : https://media.ccc.de/v/33c3-7964-where_in_the_world_is_carmen_sandiego