Une copie de l'édition 2019 de la liste des personnes interdites de vol (No Fly List) des États-Unis a été divulguée après avoir été stockée sur un serveur non sécurisé géré par la compagnie aérienne commerciale CommuteAir. Le serveur contiendrait les identités de centaines de milliers de personnes figurant dans la base de données de dépistage des terroristes et la liste des personnes interdites de vol du gouvernement américain. En outre, la liste compterait plus de 1,5 million d'entrées au total et les données comprenaient des noms ainsi que des dates de naissance. Elles comprenaient également de multiples pseudonymes.La liste des personnes interdites de vol est une liste officielle tenue à jour par plusieurs gouvernements dans le monde, ainsi que par certaines organisations régionales comme l'Union européenne. Cette liste répertorie généralement les personnes auxquelles les pays ou les organisations régionales ont interdit de voyager sur des vols commerciaux en provenance et à destination de leurs territoires. Du côté des États-Unis, cette liste aurait l'objet de fuite. Un pirate informatique suisse a découvert la liste sur un serveur Jenkins non sécurisé, une nuit, en farfouillant sur Shodan, un moteur de recherche qui permet de consulter les serveurs connectés à Internet.
« Comme beaucoup d'autres de mes hacks, cette histoire commence par l'ennui et la navigation sur Shodan (techniquement, sur Zoomeye, le Shodan chinois), à la recherche de serveurs Jenkins exposés qui pourraient contenir des éléments intéressants. J'ai probablement cliqué sur une vingtaine de serveurs exposés ennuyeux, avec très peu d'intérêt, quand je commence soudain à voir des mots familiers. 'ACARS', beaucoup de mentions de 'crew' et ainsi de suite. Beaucoup de mots que j'ai déjà entendus, probablement en regardant des vidéos YouTube de Mentor Pilot. Jackpot. Un serveur Jenkins exposé appartenant à CommuteAir », a-t-il déclaré.
Dans un billet de blogue sur la fuite, le pirate, qui est connu sous le nom de maia arson crimew, affirme que l'analyse du serveur a permis de découvrir un fichier texte nommé "NoFly.csv", qui fait référence au sous-ensemble de personnes figurant dans la base de données de filtrage des terroristes qui ont été interdites de voyage en avion en raison de liens connus ou supposés avec des organisations terroristes. Avec plus de 1,5 million d'entrées au total, les données comprenaient des noms ainsi que des dates de naissance. Le pirate a toutefois précisé que ces données comprenaient de multiples pseudonymes qui font tous référence à la même personne.
Ce qui place le nombre d'individus uniques bien en dessous de 1,5 million. Plusieurs personnalités figuraient sur la liste, dont le marchand d'armes russe Viktor Bout, libéré récemment dans le cadre d'un échange de prisonniers en la Russie et les États-Unis, ainsi que plus de 16 pseudonymes potentiels. Les pseudonymes comprenaient différentes orthographes courantes de son nom de famille et d'autres versions de son prénom, avec des dates de naissance différentes. La plupart des anniversaires correspondent à la date de naissance de Bout. Des membres présumés de l'IRA, l'organisation paramilitaire irlandaise, figuraient également sur la liste.
Selon crimew, un autre individu de la liste était répertorié comme ayant 8 ans d'après son année de naissance. En outre, il rapporte que de nombreuses entrées de la liste comportaient des noms qui semblaient être d'origine arabe ou moyen-orientale, bien que des noms à consonance hispanique et anglicane figuraient également sur la liste. De nombreux noms comportaient des pseudonymes qui étaient des fautes d'orthographe courantes ou des versions légèrement modifiées de leur nom. Il a ajouté que sur le serveur se trouvait une grande quantité de données d'entreprise concernant CommuteAir, y compris les informations privées de ses employés.
D'après les informations fournies par le pirate informatique suisse, le serveur géré par CommuteAir contenait également les numéros de passeport, les adresses et les numéros de téléphone d'environ 900 employés de l'entreprise. Les informations d'identification des utilisateurs de plus de 40 compartiments Amazon S3 et de serveurs gérés par CommuteAir ont également été exposées. Jenkins est un outil open source qui fournit des serveurs d'automatisation qui aident à la création, au test et au déploiement de logiciels. Shodan est un moteur de recherche utilisé par la communauté de la cybersécurité pour localiser les serveurs exposés à l'Internet ouvert.
« C'est tout simplement fou de voir à quel point cette base de données de dépistage du terrorisme est grande et pourtant, on y trouve encore des tendances très nettes vers des noms à consonance presque exclusivement arabe et russe parmi le million d'entrées. C'est une excroissance perverse de l'État policier et de surveillance des États-Unis. Il s'agit juste d'une liste sans aucune procédure régulière principalement basée sur le fait qu'ils s'apparentent à quelqu'un ou qu'ils viennent du même village que quelqu'un. C'est tellement massif. J'ai l'impression que cela n'a sa place nulle part. J'ai l'impression que cela ne résout pas le problème », a déclaré crimew.
Il a déclaré qu'il n'était pas choqué de tomber sur une copie non sécurisée de la No Fly List. « Je fouille dans divers [serveurs] Jenkins depuis un moment et il y a juste tellement de choses à trouver. C'était juste une question de temps avant que je ne trouve quelque chose comme ça ». Dans une déclaration, la Transportation Security Administration (TSA) des États-Unis a dit qu'elle était consciente d'un incident potentiel de cybersécurité avec CommuteAir, et qu'elle enquête en coordination avec ses partenaires fédéraux. CommuteAir a déclaré que l'infrastructure exposée, qu'elle a décrite comme un serveur de développement, était utilisée à des fins de test.
CommuteAir a ajouté que le serveur, qui a été mis hors ligne, n'a pas exposé d'informations sur les clients selon une enquête initiale. La société a également confirmé la légitimité des données, affirmant qu'il s'agissait d'une version de la liste fédérale d'interdiction de vol datant de 2019. « Le serveur contenait des données provenant d'une version 2019 de la liste fédérale d'interdiction de vol. En outre, certaines informations sur les employés et les vols de CommuteAir étaient accessibles. Nous avons soumis une notification à l'Agence de cybersécurité et de sécurité des infrastructures et nous poursuivons une enquête complète », a déclaré l'entreprise.
Les États-Unis maintiennent une liste d'interdiction de vol depuis des décennies, mais son nombre était beaucoup plus faible dans les jours précédant les attentats du 11 septembre 2001 et ne contenait que 16 personnes. Mais selon les analystes, après les attentats et la création du département américain de la Sécurité intérieure, la liste s'est rapidement étendue. Le nombre exact de personnes figurant sur la liste reste inconnu, et les données divulguées datent de quelques années et contiennent plusieurs entrées pour un seul individu. Cependant, des estimations récentes situent le nombre total de personnes figurant sur la liste entre 47 000 et 81 000 personnes.
Selon le FBI, la base de données de filtrage des terroristes est une liste d'individus partagée par plusieurs ministères afin d'éviter le type d'erreurs de renseignement qui s'est produit avant le 11 septembre. Elle comprend la liste des personnes interdites de vol, plus petite et plus étroitement contrôlée. Les personnes figurant dans la base de données de filtrage des terroristes peuvent être soumises à certaines restrictions et à des contrôles de sécurité supplémentaires. Les personnes figurant explicitement sur la liste des personnes interdites de vol n'ont pas le droit de monter à bord d'un avion aux États-Unis.
La découverte de crimew n'est pas la première fois qu'une version non sécurisée de la base de données de filtrage des terroristes est exposée en ligne. Le chercheur en sécurité Volodymyr "Bob" Diachenko a trouvé une copie détaillée de la liste de surveillance du terrorisme avec 1,9 million d'entrées en 2021. Mais Diachenko n'a jamais reçu la confirmation officielle que sa liste était authentique. Par ailleurs, bien que la liste soit très secrète et fasse rarement l'objet de fuites, elle n'est pas considérée comme un document classifié en raison du nombre d'agences et de personnes qui doivent y avoir accès.
La liste d'interdiction de vol a régulièrement été critiquée par des experts en matière de vie privée et de libertés civiles. « Au cours des 20 dernières années, les citoyens américains que nous avons vus être ciblés par les listes de surveillance sont de manière disproportionnée des musulmans et des personnes d'origine arabe, moyen-orientale ou sud asiatique. Parfois, il s'agit de personnes dissidentes ou ayant des opinions considérées comme impopulaires. Nous avons également vu des journalistes figurer sur une liste de surveillance », a déclaré Hina Shamsi, directrice du National Security Project à l'American Civil Liberties (ACLU).
L'ACLU a réussi à obtenir que les citoyens puissent contester leur inscription sur la liste. « Toutefois, il reste encore du travail à faire pour améliorer la transparence de la liste. C'est déjà un système massif et gonflé, et la croissance est exactement le genre de chose qui se produit lorsque vous avez un système vague et trop large de ce qui est essentiellement une surveillance gouvernementale basée sur la suspicion et sans aucune procédure régulière », a déclaré Shamsi.
Source : Billet de blogue
Et vous ?
Quel est votre avis sur le sujet ?Voir aussi
Firefox Monitor, le tableau de bord qui vous prévient si une fuite de données en ligne vous concerne, est désormais disponible en français Une fuite de données révèle que la Chine suit près de 2,6 millions de personnes dans Xinjiang, avec 6,7 millions de données GPS collectées en 24h Meta écope d'une amende de 277 millions de dollars en Irlande pour la fuite des données d'un demi-milliard d'utilisateurs, les données de 533 millions d'utilisateurs de Facebook avaient été exposées Une fuite de données révèle la liste noire secrète de Facebook des "personnes et organisations dangereuses", soit un total de plus de 4 000 personnes, groupes et entités diverses