Des avions à l’aéroport international John Fitzgerald Kennedy de New York, en 2008.

Des avions à l’aéroport international John Fitzgerald Kennedy de New York, en 2008. | Mark Lennihan / AP

Les politiques européens s’écharpent depuis des années sur la question du partage des données des passagers aériens. Sans doute ne savent-ils pas que celles-ci sont, déjà, accessibles au premier venu. En quelques clics, il est facile d’accéder aux informations personnelles de centaines de millions de passagers aériens – et même de modifier ou annuler leur vol dans certains cas – en raison de la sécurité déficiente, sinon inexistante, du système de réservation.

C’est le constat alarmant dressé par Karsten Nohl et Nemanja Nikodijevic, deux spécialistes de la sécurité informatique, qui ont présenté leurs trouvailles, mardi 27 décembre, à Hambourg, dans le cadre de la 33e édition du Chaos Communication Congress (CCC), la grand-messe des hackers.

Lire aussi : Le Chaos Communication Congress, place forte de la contre-culture numérique

Les deux experts se sont intéressés aux Global Distribution Systems (GDS) : des entreprises qui font le lien entre les vendeurs de billets d’avion et les compagnies aériennes. Ces dernières fournissent les prix de chaque vol qu’elles proposent, ainsi que leur disponibilité, que les GDS relaient aux vendeurs de billets – les sites Internet de voyages par exemple.

Mais les GDS gardent également en mémoire les réservations effectuées auprès des compagnies, et stockent à cette fin un très grand nombre de données personnelles : adresse, adresse e-mail, numéro de téléphone, numéro de carte de fidélité, et parfois même numéro de carte de crédit. Ces données, appelées dans le jargon données des dossiers passagers (plus connues sous le nom de PNR), sont parfois dupliquées chez plusieurs GDS.

« Aucun hacking n’a été nécessaire »

« La question [de la protection] des données des passagers aériens a fait l’objet de nombreux débats en Europe. On pourrait penser que ce système, aux avant-postes de ces désaccords, est sécurisé », explique Karsten Nohl, un habitué du CCC, qui dirige l’entreprise Security Research Labs. En réalité, « aucun hacking n’a été nécessaire » pour accéder à ces données, précise-t-il.

En effet, les GDS et tout l’écosystème l’environnant ont été mis en place il y a quelques décennies et aucune mesure significative de protection des données qu’ils contiennent ne semble avoir été mise en place.

Premier problème : les informations personnelles stockées par les GDS sont accessibles à de très nombreux salariés au sein des sites de vente de voyage et des compagnies aériennes, selon les deux experts. Il suffit pour cela de la référence de la réservation et du nom du passager.

Selon les deux experts, les procédures de sécurité entourant cet accès sont très insuffisantes : un mot de passe très souvent basique pour les employés d’agence ou de site de voyage, voire pas de mot de passe du tout pour les salariés des compagnies aériennes. « Des protections ridiculement faibles », déplore Karsten Nohl.

Des données accessibles à presque tous

Il y a plus inquiétant : ces informations ne sont pas seulement accessibles aux employés du secteur en raison d’une faiblesse structurelle. Les habitués des réservations de vol le savent bien : pour retrouver les détails de son vol et en gérer les modalités, par exemple sur le site de la compagnie aérienne, il suffit de se munir du numéro de réservation à 5 chiffres et lettres et du nom du passager.

Il est très rare qu’une information supplémentaire (un mot de passe par exemple), soit nécessaire pour accéder à ces informations. Cela signifie que, muni seulement du numéro de réservation et du nom de famille du passager, n’importe qui peut accéder aux données personnelles de ce dernier.

Or, il est relativement aisé de se procurer ces deux informations : dans certains cas, le numéro de réservation figure sur les cartes d’embarquement et peut donc être récupéré après qu’elles ont été jetées. Sans compter que des milliers d’internautes, quotidiennement, postent des photos de leur carte d’embarquement sur les réseaux sociaux !

Et même lorsque cette référence ou le nom du passager ne sont pas directement visibles, il est possible de les retrouver grâce au code-barres présent sur la carte d’embarquement. Des sites Internet permettent de lire, très facilement, ces codes.

Le caractère très peu discret des cartes d’embarquement était déjà partiellement connu. Mais les deux chercheurs ont également découvert un moyen d’obtenir facilement un numéro de réservation, même sans accès à ces cartes. Pour diverses raisons, ces numéros ne sont pas générés de manière tout à fait aléatoire, et en testant très rapidement des milliers de possibilités, il est possible d’obtenir le numéro de réservation associé à un nom donné.

Karsten Nohl en a fait la démonstration à la chaîne de télévision allemande WDR : il a réussi à retrouver le billet d’un des journalistes et à le modifier.

3 milliards de passagers aériens

Les dangers varient selon les mécanismes de protection mis en place sur les sites permettant de récupérer les données personnelles avec le numéro de réservation et le nom (compagnies aériennes, sites des GDS…). Mais il est possible de changer le nom du passager, l’e-mail et la date du vol, et donc de voyager à la place de sa victime.

Il est également possible de se faire rembourser le vol, par exemple en points de fidélité. C’est ainsi que les deux chercheurs ont, lors de leur présentation, accédé au dossier d’une passagère voyageant de Munich à Seattle et ayant commis l’imprudence de poster sa carte d’embarquement sur Instagram.

A la suite des remarques des deux chercheurs, plusieurs sites d’entreprises gérant des GDS et de compagnies aériennes ont mis en place ces derniers jours des mécanismes censés rendre plus difficiles l’accès aux données des passagers, sans que cela ne change la logique de fonctionnement du système.

Cependant, le caractère sensible et la quantité de données auxquelles il est permis d’accéder nécessitent de plus amples protection, a expliqué M. Nohl, par exemple en introduisant un mot de passe, nécessaire au voyageur pour accéder à sa réservation et la modifier.

Selon la Banque mondiale, plus de 3 milliards de passagers ont été transportés par voie aérienne en 2015. Le système GDS est de facto une des bases de données d’informations personnelles les plus riches jamais créées, et probablement l’une des moins sécurisées.