Sur les réseaux sociaux, montrer votre carte d’embarquement n’est pas vraiment quelque chose de judicieux à faire. Vous pourriez avoir quelques problèmes alors qu’à la base, il est simplement question de partager votre joie !
De nombreuses personnes postent une photo de leur billet d’avion sur Instagram via le hashtag #boardingpass et une simple recherche permet d’obtenir plus de 90 000 résultats. Le souci, c’est qu’en faisait cela, les voyageurs s’exposent à un type de problème assez méconnu, mais pourtant bien réel, car un billet d’avion comporte quelques données sensibles qui ne devraient pas tomber entre de mauvaises mains.
Selon un article de la BBC publié le 23 août 2017, il s’agirait même d’une « véritable épidémie » depuis le premier semestre de l’année et les cibles les plus courantes sont les jeunes n’ayant pas dépassé la trentaine. Les pirates peuvent donc facilement se faire passer pour leurs victimes grâce à la simple photo d’un billet d’avion posté sur les réseaux sociaux. Comment cela est-il possible ?
Lors du Chaos Communication Congress de 2016, le hacker Karsten Nohl a expliqué que le code de réservation à six chiffres que transmet la compagnie aérienne au client contient les données de dossiers passagers ou PNR. Le code de réservation apparaît sur la carte d’embarquement et même sur les étiquettes de bagages ! Si il arrive à connaître votre nom, n’importe quel hacker assez performant pourra usurper votre identité et annuler votre observation, la modifier ou encore recevoir des coupons de réduction à votre place.
En utilisant la méthode de force brute, les codes de réservation ne sont pas compliqués à casser. Il suffit de programmer un bot qui entrera des codes à six chiffres jusqu’à en trouver un bon correspondant à une réservation et à un nom de famille. Généralement, la manipulation ne prend que deux petites minutes. Quelques mois après avoir lancé l’alerte, Karsten Nohl a indiqué que pratiquement rien n’avait changé dans les systèmes de réservation de billets d’avion.
Un autre personnage influant dans le milieu de l’informatique, à savoir Michal Spacek, développeur et chercheur en cybersécurité, avait quant à lui montré ce qu’un hacker est capable de faire avec une simple photo tirée d’Instagram. Il avait par exemple utilisé le cliché instagram de la carte d’embarquement d’un ami en escapade à Hong Kong pour le localiser et le faire passer pour un criminel recherché internationalement. Sur le système de réservation en ligne de British Airways, il avait en effet eu accès à toutes les informations de son ami et a pu les modifier à son aise, lui donnant au passage le numéro de passeport d’une terroriste figurant dans une base de données d’Interpol. Avec le code aztec présent sur le billet, il avait montré qu’il n’était par ailleurs vraiment pas compliqué d’obtenir des données sur la personne ou de se connecter à son compte fidélité pour le supprimer, se l’approprier, accéder aux données de paiement, aux réservations ou encore s’offrir des vols gratuits sous les cocotiers !
Un conseil : si vous désirez absolument montrer vos billets d’avion, il faudrait masquer les informations critiques avec un support de préférence noir, mais ne pas utiliser Photoshop pour les flouter. En effet, il existe des logiciels capables de restituer les photos modifiées de la sorte et les pirates n’ont pas peur de s’y attaquer.
Sources : BBC – Motherboard
