Les compagnies a\u00e9riennes, agences de voyage, sites comparateurs de prix, et beaucoup d\u2019autres services travaillent conjointement afin de faciliter la r\u00e9servation aux passagers. L\u2019industrie utilise les Global Distribution Systems<\/a> (GDS) pour v\u00e9rifier la disponibilit\u00e9 des vols, s\u2019assurer que les si\u00e8ges n\u2019ont pas \u00e9t\u00e9 r\u00e9serv\u00e9s deux fois, etc. Les GDS sont \u00e9troitement li\u00e9s aux services web, mais ne disposent pas des meilleures pratiques de protection. Par cons\u00e9quent, les technologies GDS demeurent d\u00e9su\u00e8tes en mati\u00e8re de protection et permettent aux cybercriminels d\u2019agir sur un large champ d\u2019attaque.<\/p>\n M\u00eame s\u2019il existe actuellement pr\u00e8s de 20 vendeurs de GDS, le duo de chercheurs en s\u00e9curit\u00e9 Nohl et Nikodijevic s\u2019est pench\u00e9 sur les trois principaux syst\u00e8mes\u00a0: Sabre (fond\u00e9 en 1960), Amadeus (fond\u00e9 en 1967), et Galileo (d\u00e9sormais une unit\u00e9 de Travelport). Ces syst\u00e8mes g\u00e8rent<\/a> plus de 90% des r\u00e9servations de vols, ainsi que celles d\u2019h\u00f4tels, de voitures et autres r\u00e9servations relatives au voyage.<\/p>\n Par exemple, la Lufthansa et AirBerlin travaillent avec Amadeus, et avec le tour-op\u00e9rateur Expedia. Quant \u00e0 American Airlines et la compagnie a\u00e9rienne russe Aeroflot, elles restent fid\u00e8les \u00e0 Sabre. Qu\u2019importe, il est difficile d\u2019affirmer avec certitude quel GDS stocke les donn\u00e9es d\u2019un passager en particulier. Par exemple, si vous r\u00e9servez un billet d\u2019American Airlines via Expedia, Amadeus et Sabre comptabilisent tout deux la transaction.<\/p>\n Selon les r\u00e8gles du syst\u00e8me de r\u00e9servation, les enregistrements de GDS contiennent en g\u00e9n\u00e9ral le nom du passager, le num\u00e9ro de t\u00e9l\u00e9phone, la date de naissance, et les informations du passeport, ainsi que son num\u00e9ro de billet, le lieu de d\u00e9part et celui d\u2019arriv\u00e9e, la date et l\u2019heure du vol. Ils comportent \u00e9galement des informations de paiement (telles qu\u2019un num\u00e9ro de carte de cr\u00e9dit). En d\u2019autres termes, des renseignements confidentiels.<\/p>\n Nohl et Nikodijevic ont indiqu\u00e9 que beaucoup de monde a acc\u00e8s \u00e0 ces donn\u00e9es, y compris des employ\u00e9s de compagnies a\u00e9riennes, des tour-op\u00e9rateurs, des repr\u00e9sentants d\u2019h\u00f4tels, et autres agents. Les chercheurs supposent que les agences gouvernementales sont \u00e9galement en mesure de lire ces donn\u00e9es. Mais il ne s\u2019agit que de la partie immerg\u00e9e de l\u2019iceberg.<\/p>\n Pour changer et avoir acc\u00e8s \u00e0 ces informations, les GDS utilisent un nom de voyageur comme identifiant et un code de r\u00e9servation \u00e0 6 chiffres (la plupart des voyageurs le connaissent comme \u00e9tant le PNR<\/a>) pour cr\u00e9er un mot de passe<\/strong>. Eh oui, c\u2019est le PNR qui est explicitement imprim\u00e9 sur les cartes d\u2019embarquement et les \u00e9tiquettes \u00e0 bagage. En tant que mot de passe.<\/p>\n \u00ab\u00a0Si le PNR est cens\u00e9 \u00eatre un mot de passe s\u00e9curis\u00e9, il devrait \u00eatre trait\u00e9 en tant que tel\u00a0\u00bb, a d\u00e9clar\u00e9 Nohl lors de la conf\u00e9rence. \u00ab\u00a0Mais le secret n\u2019est pas gard\u00e9\u00a0: il est imprim\u00e9 sur chaque bout de bagage. Il est utilis\u00e9 pour \u00eatre imprim\u00e9 sur les cartes d\u2019embarquement, jusqu\u2019\u00e0 ce qu\u2019il disparaisse et qu\u2019il soit remplac\u00e9 par un code-barres\u00a0\u00bb. Ce code-barres, d\u2019ailleurs, contient toujours le PNR.<\/p>\n La majorit\u00e9 des voyageurs ne comprennent pas les rouages internes de l\u2019industrie a\u00e9rienne, par cons\u00e9quent ils publient avec enthousiasme leurs billets sur Internet contenant le PNR, chiffr\u00e9 sur un code-barres. Cependant, un code-barres n\u2019est pas un myst\u00e8re<\/a>, les logiciels sp\u00e9ciaux peuvent le lire. Donc quiconque<\/em> prend une photo de votre \u00e9tiquette \u00e0 bagage \u00e0 l\u2019a\u00e9roport ou trouve votre billet sur Internet, peut acc\u00e9der \u00e0 vos donn\u00e9es priv\u00e9es. Pas besoin d\u2019\u00eatre un hacker pour exploiter les vuln\u00e9rabilit\u00e9s du PNR, il suffit juste de savoir o\u00f9 regarder. Dans la vid\u00e9o ci-dessous, vous pouvez voir de quelle fa\u00e7on Nohl et Nikodijevic ont d\u00e9cod\u00e9 le code-barres d\u2019un billet d\u2019avion provenant d\u2019une photo d\u2019Instagram.<\/p>\n![\"\"](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2017\/01\/06094040\/airplanetickets-on-instagram.jpg\")
<\/p>\n