Une simple recherche du hashtag #boardingpass sur Instagram génère plus de 90 000 résultats de recherche. Apparemment, poster la preuve que vous avez acheté des billets d’avion à destination d’un pays étranger est sensé provoquer l’allégresse de vos followers les plus fidèles, qui ne manqueront pas de vous le faire savoir en renchérissant avec un emoji cœur accompagné d’un nombre conséquent de point d’exclamations.

Hélas, votre exploit peut vous amener quelques problèmes, en plus de l’admiration de vos fans.

Grâce à votre magnifique cliché, un individu discret aura peut-être récupéré les quelques informations sensibles qui suffisent à usurper votre identité.

Au premier semestre 2017, les cas d’usurpation d’identité étaient si nombreux que la BBC a parlé “d’une véritable épidémie“. Contrairement à ce que l’on pourrait croire, le segment de population le plus représenté chez les victimes n’était pas le daron candide qui clique sur le premier mail suspect venu, mais le jeune de moins de 30 ans. Autrement dit, le fameux digital native.

Mais comment se fait-il que les hackers et autres cybercriminels parviennent aussi facilement à se faire passer pour leurs victimes, à l’heure où nous prenons conscience des enjeux de la sécurité informatique et de l’importance du choix de mots de passe robustes ? La réponse est étonnante : parce que nous aimons la bouffe. Ou plutôt, les photos de bouffe, accompagnées de billets d’avion, de cartes de visite, de billets de concert, de clés de voiture et autres objets baignant dans les informations personnelles – et néanmoins postées sur Instagram sans le moindre scrupule.

Votre code d’enregistrement n’est pas là pour décorer – c’est un mot de passe provisoire

Le code de réservation à 6 chiffres fourni par les compagnies aériennes contient ce que l’on appelle les PNR (les données de dossiers passagers). C’est une mine d’or pour les usurpateurs – comme l’a démontré le hacker Karsten Nohl lors du Chaos Communication Congress de Hambourg, l’an dernier.

Nohl a montré que le système PNR était d’autant plus catastrophique que votre code de réservation apparaît sur les étiquettes de bagage et les cartes d’embarquement. Les passagers sont donc amenés à le balader un peu partout dans les gares et les aéroports, sous le nez des passants. Pour peu qu’un individu mal intentionné connaisse aussi votre nom, il aura l’opportunité de modifier votre réservation ou de procéder à son annulation pure et simple. Il pourra également recevoir des coupons de réduction et des remboursements à votre place, pour peu qu’il soit un peu habile.

En effet, les codes de réservation sont très faciles à casser en force brute, sachant qu’ils ne comprennent jamais de 0 ni de 1 ; il suffit de programmer un bot qui entre des séries de codes à 6 chiffres jusqu’à tomber sur un code associé à une réservation et à un nom de famille. Grâce à ces techniques, un pirate peut suivre un individu, trouver sa ville de départ et sa destination. En collaboration avec la chaine de TV allemande ARD, le chercheur a réussi l’an dernier à modifier la réservation d’un reporter, le plaçant sur le même vol qu’un homme politique allemand – sur le siège voisin.

En force brute, un ordinateur classique n’a besoin que de deux minutes pour casser le code/mot de passe fourni par la compagnie aérienne. Enfin, parce que de nombreuses compagnies partagent les numéros de réservation pour faciliter les correspondances, un unique PNR peut permettre de se connecter jusqu’à cinq sites web de compagnies distinctes – augmentant les chances des criminels de récupérer d’autres informations personnelles ou de prendre un vol à votre place.

8 mois après avoir lancé l’alerte sur les failles de ce système, Karsten Nohl explique que rien n’a changé, ou presque, dans les systèmes de réservation de billets d’avion. Aujourd’hui, le développeur et chercheur en sécurité informatique Michal Spacek lui emboîte le pas en montrant tout ce qu’un hacker peut faire avec une simple photo Instagram.

Trois arguments contre les photos de carte d’embarquement sur les réseaux sociaux

Dans le premier des trois cas de hacking via Instagram qu’il a étudiés, Spacek explique qu’il a réussi à déterminer la localisation exacte d’un ami parti en vacances à Hong Kong ; il est également parvenu à faire passer pour un criminel internationalement recherché. Il aura suffit d’une photo Instagram exposant sa carte d’embarquement, accompagnée de son smartphone et de ses écouteurs.

Muni du code de réservation de son pote, qui était clairement visible sur le cliché, Spacek a réussi à se connecter au système de réservation en ligne de British Airways, où il a pu récupérer toutes les informations personnelles de la victime, dont sa date de naissance et son numéro de passeport – juste avant son départ.

Afin de lui faire une petite blague innocente, Spacek s’est servi de ces identifiants pour se faire passer pour lui sur l’espace en ligne de British Airwaves, et a modifié ses détails de réservation. La date de naissance de son compère était non seulement disponible dans le registre de la compagnie aérienne, mais également sur Facebook. Spacek a ensuite modifié les données personnelles du dossier au gré de ses envies, et a troqué le numéro de passeport de son ami contre celui d’un terroriste enregistré dans une base de données d’Interpol.

Second cas pratique : Une personne – appelons-là Anna – tente de protéger son identité en photoshoppant son nom de famille sur sa carte d’embarquement avant de la poster sur Instagram pour crâner. De fait, ça ne sert absolument à rien tant que le code Aztec est toujours visible sur la photo. Dans ce cas, Spacek n’aura qu’à utiliser une appli de type “Barcode Scanner” afin de retrouver le nom complet de la passagère. L’efficacité de cette combinaison de techniques dépendra évidemment du niveau de sécurité des services en ligne de la compagnie aérienne, et des opportunités de collecte d’informations sur l’innocente (et négligente) victime.

Une magnifique collection de carte d’embarquement, offerte au premier hacker venu. Image : Screenshot Instagram

Troisième cas pratique : Un homme, fondateur d’une start-up assez connue, voyage beaucoup et comme tout bon quadragénaire disposant de revenus confortables, il utilise des tas de gadgets connectés. Il poste donc une photo de sa smartwatch affichant un code Aztec sur son profil Instagram. Spacek a pu scanner le code avec succès, et obtenir une information extrêmement précieuse : le numéro de compte fidélité du voyageur, que les compagnies aériennes protègent habituellement avec un haut niveau de sécurité.

Grâce à ce numéro et à des informations disponibles publiquement, Spacek n’avait plus qu’à répondre à deux questions ridiculement simples pour pouvoir créer un nouveau mot de passe sur le compte United Airlines de la victime. À partir de là, il était libre d’ajouter et modifier toutes les informations pertinentes – données de paiement, réservations et adresses postales, ainsi que de programmer un ou deux vols gratuits vers des destinations exotiques. Depuis que Spacek a fait la démonstration publique de cette technique de piratage, United Airlines a renforcé son système de création de mot de passe. Mais jusqu’à récemment, il aurait pu usurper l’identité de notre entrepreneur et bloquer définitivement son compte.

Mais je veux montrer à tout le monde que je prends l’avion !

On vous comprend. Du moment que vous prenez soin de noircir votre nom, votre numéro de réservation ainsi que le code barre, c’est ok. Il est très important d’occulter ces informations en les recouvrant plutôt qu’en les floutant : certains programmes permettent de reconstituer les infos floutées, pour peu que la victime ait utilisé une appli de smartphone non professionnelle.

Même s’il est peu probable qu’un pirate se fatigue à recomposer votre code de réservation sur Photoshop pendant deux heures, il est temps d’adopter les bonnes pratiques : lorsque vous voulez cacher du texte ou des numéros, utilisez un rectangle noir. C’est aussi valable lorsque la Fnac vous demande un scan de votre carte bleue lors d’un gros achat.

Beaucoup de gens oublient que la dissimilation d’infos sensibles sur les photos est absolument nécessaire, mais pas suffisante : il faut également détruire les données sur les supports physiques aux-mêmes. Plutôt que de laisser trainer sa carte d’embarquement, il est préférable de l’éliminer après utilisation – dans l’idéal, en la déchirant. Ce réflexe témoigne certes d’une paranoia avancée, mais nous vivons dans un monde où c’est une vertu nécessaire.

Après les cartes d’embarquement, les clés de bagnole

Vous êtes super fier de votre voiture. Elle est flambant neuve et vous a coûté les yeux de la tête. Du coup, vous aimeriez célébrer cet achat avec le monde entier en postant une photo de vos nouvelles clés sur Instagram, Twitter ou Facebook. Mauvaise idée.

En fait, il est assez facile de reconstituer un modèle 3D précis de vos clés à partir d’une photo, en utilisant un logiciel adapté. Les logiciels de CAO, par exemple, permettent de reconstituer les formes visibles sur les photos, même si elles sont déformées, avant de les convertir en fichiers Flash. Pendant ce temps là, le hacker fait chauffer son imprimante 3D et sélectionne différents modèles de couleur pour sa copie de clé en résine synthétique. Ensuite, il n’a plus qu’à trouver l’emplacement de votre voiture ou de votre maison grâce aux tags de géolocalisation ou à des informations extraites des réseaux sociaux. Trente minutes plus tard, la copie est de vos clés est prête. Le hacker n’a plus qu’à faire vrombir la bagnole.

Pour vous prémunir de ce genre d’éventualité, pas besoin d’avoir des skills incroyables sur Photoshop. Il suffit de cacher le tiers inférieur de l’extrémité de la clé avec votre main en prenant la photo. Dans tous les cas, il vaut mieux poster une photo de votre voiture que du gadget qui permet de la voler.

Allez, on a tous la capacité d’être des Narcisse prudents et avisés.