Sacredi sécurité : vol intérieur gratuit aux USA sans contrôle de la TSA
On est pas samedi, mais je pense que la date calendaire est parlante...
On nous parle de sécuriser avec des systèmes d'informations, des logiciels, des code-barres ou des QR-Code.
Mais imaginez-vous une faille dans ce qui devrait être un point-clé pour la sécurité aux USA? Le vol aérien.
La TSA est connue pour sa rigueur avec les passagers, mais il y a des passe-droits et des systèmes qui avaient des failles béantes!
Ceux qui ont voyagé aux USA savent à quel point la TSA est tatillonne.
Le passe-droit pour le contrôle par la TSA aux USA
Certains échappent à ces tracas, dans le cas de pilote de ligne aux USA pour leur travail, ou de pilotes de ligne se déplaçant dans un avion dans le cadre de leur travail voire ayant un siège passager dans le cockpit "jump seat".
En sécurité, toute exception à la règle est un problème potentiel, une faille potentielle...
Un siège en cockpit?
Car oui, on peut aussi obtenir un siège dans le cockpit, derrière le commandant de bord et le premier officier (alternant pilote et copilote).
Un voyage gratos, mauvais repas compris, mais pas d'alcool servi.
Le beau système que voilà
Avez-vous vu "Arrête moi si tu peux" avec Leonardo di Carpacio?
Une histoire inventée par son auteur, mythomane au dernier degré, où il arrivait à se faire offrir un "jump seat" en avion, et à passer les contrôles les doigts dans le nez ou échapper au FBI.
Sauf que ça a été possible pendant plusieurs années à cause d'une faille de sécurité dans le système FlyCASS utilisé par différentes compagnies aériennes. Dans la vie réelle, après le 11 septembre 2001. Jusqu'il y a peu.
Cette faille s'exploitait depuis un simple navigateur, en réalisant une injection SQL, remplacer des données par des parties de requêtes SQL, permettant alors de s'authentifier comme un gestionnaire et de changer toute donnée sur une personne navigante ou de rajouter de nouveaux profils qui sont automatiquement validés. Toute l'histoire racontée ici en Anglais.
Une absence de validation, et une absence de séparation des données et du code de la requête SQL. Pas plus de WAF (Web Application Firewall) qui aurait intercepté les requêtes.
Trois erreurs incroyables sur un système chargé de sécuriser des vols en avions et une absence de passage au contrôle.
La faille a été identifiée par des chercheurs en sécurité. Et maintenant comblée.
Conclusion
Voyager dans le cockpit sécurité d'un avion de ligne aux USA, sans être passé sous un portique de sécurité ni aucune fouille de la TSA?
Faites confiance aux ordinateurs et surtout aux logiciels. Aux développeurs donc.
Je ne sais pas comment ni pourquoi on peut arriver à de tels passe-droits, mais pendant que certains passagers se font fouiller intimement aux USA, y compris des personnes âgées ou des enfants ou ados, une faille informatique aurait pu autoriser le pire.
La TSA devrait avoir des comptes à rendre, tant sur les passe-droits, que sur ce système qui a mis à mal tout le schéma de sécurité du vol aérien après le 11 septembre 2001.
Une date funeste. Un complot...