Les principales activités économiques liées à l’industrie aéroportuaire sont particulièrement affectées par la cybercriminalité.
La raison de ces attaques est inhérente à la nature même de ces zones de transit. Brassant une population cosmopolite en perpétuel mouvement, les aéroports facilitent malgré eux la réalisation de certaines fraudes. En effet, plusieurs mesures de précaution imposées en règle générale ne peuvent être appliquées en l’état, grâce à la nature de ce marché très particulier.
Le fort taux de fréquentation des lieux empêche également de détecter des comportements illicites : les dix premiers aéroports du monde accueillent chaque année entre 52 et 89 millions de passagers.
Profitant de ces lacunes, les cybercriminels perpètrent leurs méfaits majoritairement dans trois domaines : la réservation frauduleuse de billets en ligne, le vol de données personnelles et l’utilisation de « dumps[1] » à l’intérieur même des aéroports.
La réservation frauduleuse de billets
Payer son billet en ligne avec des numéros de carte bancaire piratés est une institution dans le milieu. Certains malfaiteurs, en perpétuels déplacements à travers le monde[2], ne pourraient le faire à un tel rythme en payant réellement le prix de leurs billets. Escroquer des sites de compagnies aériennes ou de voyages en ligne est cependant loin d’être évident. Par conséquent, seule une infime partie des cybercriminels se sont spécialisés dans ce business, proposant leurs services pour une somme modique dans des blackmarkets.
Deux difficultés majeures compliquent les affaires des escrocs qui, pour un simple paiement sur internet, doivent parfois réfléchir longuement à la stratégie à adopter :
- Certaines destinations sont blacklistées pour des réservations en ligne. Ainsi, réussir à obtenir un billet électronique qui ne sera pas annulé quelques heures plus tard, relève d’une véritable prouesse. Nombre de cybercriminels refusent d’ailleurs les commandes de voyages à destination ou au départ de l’Afrique et de l’Asie.
- Les compagnies aériennes rejettent systématiquement certains BIN[3] lors du paiement, ce qui nécessite de longues heures d’ « apprentissage » afin de déterminer avec quels numéros de cartes effectuer son achat. Dans l’exemple ci-dessous, un cybercriminel demande à ses « confrères » avec quels BIN effectuer une réservation sur la compagnie aérienne Emirates.
Cependant, les cybercriminels ne sont pas les principaux utilisateurs de cette fraude qui fait perdre chaque année plus de 1,4 milliard de dollars aux compagnies de transports.
Les fausses agences de voyages en ligne
Les plus importants bénéficiaires sont, en réalité, des internautes ordinaires qui, sans le savoir, achètent des billets auprès de fausses agences de voyages en ligne. Ainsi, en novembre 2010, plusieurs sites tels que cheapflightsonly.net, onlycheapflights.net, cheaper-flights.net.au et flisave.com ont été fermés par les autorités à la suite de nombreuses plaintes[4].
Il est loin d’être agréable pour un voyageur quelconque de se rendre compte juste avant d’embarquer que son billet a été annulé pour irrégularité. Il existe cependant plus ennuyeux : certaines compagnies bloquent en effet leurs passagers entre deux escales, une partie du voyage n’ayant pas été confirmée.
Le fait que des particuliers de bonne foi subissent de telles mésaventures explique certainement la rareté des poursuites judiciaires à leur encontre malgré le fait qu’ils soient, selon la loi, des receleurs.
Comment distinguer un internaute trompé en achetant un billet qu’il pensait légitime, d’un criminel parfaitement au courant de la combine ?
Bien que les compagnies aériennes vérifient manuellement, et de plus en plus souvent, les commandes effectuées sur leurs sites (30% des transactions en moyenne), ce phénomène criminel n’est pas près de diminuer. Il pourrait même s’aggraver. En effet, les compagnies commercialisent depuis peu des cartes-cadeaux qui facilitent l’anonymat, ce qui favorise, de fait, les activités des malfaiteurs.
Le vol de données personnelles
Depuis les attentats du 11 septembre, les aéroports sont sous étroite surveillance. Dans un environnement hautement contrôlé, découvrir que des criminels peuvent malgré tout exploiter certaines failles de sécurité est particulièrement préoccupant. L’aéroport de Pearson à Toronto en a fait l’amère expérience en 2008.
Les données bancaires des voyageurs ayant imprimé leurs cartes d’embarquement par le biais des quelque 150 bornes disponibles en libre accès ont été récupérées par des pirates informatiques dans des proportions inconnues. La société de paiement Visa a rapidement diligenté une enquête sur place. Le mode opératoire des hackers n’a cependant pas encore été révélé officiellement.
Depuis cet incident, la compagnie WestJet, deuxième transporteur du pays, a mis un terme à la possibilité de retirer toute carte d’embarquement par le biais d’une carte bancaire dans plus de 28 aéroports où elle est implantée. Il faut désormais indiquer uniquement son numéro de passeport ou de réservation.
Outre les bornes d’enregistrement, le danger peut également provenir des points d’accès WiFi : les cybercriminels ont fait des aéroports leur lieu favori pour créer de fausses bornes d’accès à Internet. Lorsque l’accès à Internet dans l’aérogare est payant, les pirates attirent leurs victimes en proposant des points d’accès gratuits ou bien, ils renomment leur connexion avec un nom similaire à celui utilisé par les services de l’aéroport. Une fois en ligne, l’internaute, qui pense naviguer sur le web par le biais d’une borne WiFi classique, est en réalité connecté sur l’ordinateur du hacker qui peut donc accéder toutes les informations personnelles que la victime envoie sur Internet.
L’utilisation de dumps dans les duty free
Une activité commerciale propre aux aéroports n’a jamais connu de crise : les duty free.
Les criminels s’y intéressent particulièrement, la valeur des produits qui y sont vendus atteignant parfois des sommes importantes. Pourquoi aller acheter frauduleusement dans un aéroport (voire dans un avion) ce qu’il est possible de trouver dans n’importe quel autre magasin ? La réponse est simple : la vente de marchandises détaxées pendant la durée des vols et au sol souffre d’importantes failles de sécurité.
Concrètement, quels sont les avantages pour un malfaiteur ?
Classiquement, les cybercriminels récupèrent les données incluses dans les pistes magnétiques des cartes bancaires (pistes ISO2) et se fabriquent des cartes, contrefaites, pour effectuer des achats directement en magasin. Notons qu’il s’agit ici de cartes, contrefaites, utilisant uniquement la piste magnétique (par opposition à la puce EMV). Ce fait est connu du grand public. Ce qui l’est moins, c’est que l’utilisation de ces cartes clonées est restreinte, car celles-ci sont astreintes à des « region block ». Ceci empêche de pouvoir s’en servir dans certaines régions du monde ou, du moins, dans des conditions normales d’utilisation. Véritable énigme pour les cybercriminels, ces restrictions ne semblent obéir pour eux à aucune logique. Par exemple, une carte contrefaite française peut parfaitement fonctionner au Pérou, mais pas au Brésil. Elle peut n’être astreinte à aucun plafond en Islande, mais limitée à 300 euros maximum en Arménie.
À ce sujet, les débats n’en finissent plus dans les forums illicites afin de savoir quel BIN acheter pour quel pays.
Au contraire, cet inconvénient disparaît durant un vol, car les compagnies aériennes semblent avoir négligé un paramètre important : lors des paiements effectués par carte bancaire, il est impossible de vérifier la validité des transactions en temps réel. Ces dernières ne seront traitées qu’après l’atterrissage. Seul un petit nombre d’avions sont équipés de la technologie nécessaire permettant la liaison radio avec les banques par satellite sans perturber l’électronique de l’appareil. En effet, les investissements nécessaires à l’installation d’un tel équipement sont onéreux : outre la nécessaire immobilisation de l’appareil, le matériel est également très coûteux. La plupart des compagnies se sont donc contentées d’un dispositif permettant de télécharger chaque jour la liste la plus récente des nombreuses cartes bancaires volées auprès d’institutions bancaires. Lors du paiement, un signal avertit l’hôtesse si la carte utilisée se trouve sur la fameuse liste noire. Cependant, concernant les dumps, cette mesure n’a aucune efficacité, car elles ne sont pas forcément encore déclarées comme dérobées.
Si ces cartes contrefaites sont aisément utilisables dans les avions, elles le sont également au sein des aéroports, car les « region block » sont peu activés dans les zones internationales.
Les distributeurs d’or, nouveau gadget du blanchiment ?
Des distributeurs automatiques hors du commun fleurissent peu à peu dans les aéroports. Ces machines aux couleurs clinquantes distribuent de l’or contre des espèces. Pour environ 10 000 euros, il est même possible d’obtenir instantanément un lingot de 250 grammes. La compagnie TG Gold Super-Markt espère multiplier l’installation de telles machines dans nombre d’aéroports afin de démocratiser la vente d’or.
Notes
[1] Un dump est une carte bancaire dupliquée (Piste magnétique ISO2) généralement capturée par un skimmer, permettant d’effectuer des achats et retraits frauduleux à la place du véritable titulaire.
[2] Exemple des scammers nigérians dans l’ActuSecu du mois de décembre.
[3] Le BIN ou Bank Identification Number permet d’identifier la banque émettrice d’une carte bancaire grâce aux six premiers chiffres de la carte, mais aussi la catégorie de la carte (Gold, classique, etc).
Découvrir d'autres articles
-
Cyber Threat IntelligenceRetour sur les opérations hacktivistes ciblant la France en marge du conflit israélo-palestinien
Lire l'article -
Actualités et veille en cybersécuritéExploitation d’une vulnérabilité dans WinRAR lors de campagnes de phishing
Lire l'article -
Actualités et veille en cybersécurité10 erreurs de configuration réseau à ne pas commettre selon la NSA et le CISA
Lire l'article