Données personnelles : les GDS sont-ils obsolètes ?
Noms de clients, coordonnées bancaires ou avantages fidélité : des hackers peuvent facilement les récupérer en interrogeant des GDS, selon deux chercheurs en sécurité informatique, auteurs d'une étude présentée lors du 33e Chaos Communication Congress (CCC) fin décembre à Hambourg.
"Les systèmes de réservation manquent d'un dispositif de sécurité que nous utilisons sur tous les autres systèmes informatiques – c'est-à-dire un mot de passe" explique Karsten Kohl, coauteur de l’étude avec Nemanja Nikodijevic, au Süddeutsche Zeitung. Les deux chercheurs ont testé les limites d’Amadeus, de Sabre et de Travelport. Premier constat : n’importe quel salarié de ces entreprises peut récupérer les données personnelles des clients, parfois même sans identifiants professionnels. Les deux chercheurs affirment aussi quel pirate informatique, même amateur, peut accéder aux données et parfois les modifier, dès lors qu’il dispose du nom du passager et de son code de réservation. Ce code, très souvent inscrit sur les cartes d’embarquement ou les étiquettes bagages, peut même être "deviné" par un hacker patient désireux de voyager gratuitement.
Des combinaisons trop faciles
En effet, le cryptage des codes, sans doute pensé à la création de GDS existants depuis plus de 50 ans, comme Sabre (1960), semble très insuffisant au regard des risques actuels de piratage informatique. Chez Amadeus, par exemple, les numéros attribués se suivent dans le temps, explique Karsten Nohl. Chez Sabre, les premiers et derniers caractères sont toujours des lettres. De plus, une grande partie des sites de compagnies aériennes permettent l’envoi illimité de recherches, laissant le temps au hacker d’essayer différentes combinaisons de codes jusqu’à trouver le bon. Dès lors, il pourra par exemple annuler un vol et se le faire rembourser, avant de réutiliser l’avoir obtenu pour réserver un vol avec sa propre identité.
Les photos sur les réseaux sociaux, le mauvais réflexe
Cette pratique laisse pourtant des traces. "Pour passer inaperçu, il suffit de changer le nom du compte de fidélité pour adopter celui de la victime, ce qui est parfois possible. Sinon, on peut très bien créer un nouveau compte de fidélité. Des personnes se livrent d'ores et déjà à ce type de fraude, simplement en collectant les identifiants sur Instagram" précise Karsten Nohl, dont les conclusions ont été reprises par différents médias. Les réseaux sociaux, où les voyageurs du monde entier aiment poster les photos de leurs cartes d’embarquement, constitueraient donc le terrain de jeu idéal d’un hacker en mal de vacances. "Depuis notre étude, certains GDS ont commencé à mettre en place des dispositifs comme des captchas ou un plafond de requêtes par adresse IP" a rassuré Karsten Nohl lors de la conférence. Des mesures encore trop facilement contournables pour un pirate informatique.
Selon l’Organisation mondiale du tourisme (OMT), près de 3,5 milliards de passagers ont emprunté la voie aérienne pour voyager en 2015. En 2015, Amadeus a centralisé les données de 747 millions de passagers selon le Suddeutsche Zeitung.
