Une copie de l'édition 2019 de la liste des personnes interdites de vol (No Fly List) des États-Unis a été divulguée après avoir été stockée sur un serveur non sécurisé géré par la compagnie aérienne commerciale CommuteAir. Le serveur contiendrait les identités de centaines de milliers de personnes figurant dans la base de données de dépistage des terroristes et la liste des personnes interdites de vol du gouvernement américain. En outre, la liste compterait plus de 1,5 million d'entrées au total et les données comprenaient des noms ainsi que des dates de naissance. Elles comprenaient également de multiples pseudonymes.La liste des personnes interdites de vol est une liste officielle tenue à jour par plusieurs gouvernements dans le monde, ainsi que par certaines organisations régionales comme l'Union européenne. Cette liste répertorie généralement les personnes auxquelles les pays ou les organisations régionales ont interdit de voyager sur des vols commerciaux en provenance et à destination de leurs territoires. Du côté des États-Unis, cette liste aurait l'objet de fuite. Un pirate informatique suisse a découvert la liste sur un serveur Jenkins non sécurisé, une nuit, en farfouillant sur Shodan, un moteur de recherche qui permet de consulter les serveurs connectés à Internet.
« Comme beaucoup d'autres de mes hacks, cette histoire commence par l'ennui et la navigation sur Shodan (techniquement, sur Zoomeye, le Shodan chinois), à la recherche de serveurs Jenkins exposés qui pourraient contenir des éléments intéressants. J'ai probablement cliqué sur une vingtaine de serveurs exposés ennuyeux, avec très peu d'intérêt, quand je commence soudain à voir des mots familiers. 'ACARS', beaucoup de mentions de 'crew' et ainsi de suite. Beaucoup de mots que j'ai déjà entendus, probablement en regardant des vidéos YouTube de Mentor Pilot. Jackpot. Un serveur Jenkins exposé appartenant à CommuteAir », a-t-il déclaré.
Dans un billet de blogue sur la fuite, le pirate, qui est connu sous le nom de maia arson crimew, affirme que l'analyse du serveur a permis de découvrir un fichier texte nommé "NoFly.csv", qui fait référence au sous-ensemble de personnes figurant dans la base de données de filtrage des terroristes qui ont été interdites de voyage en avion en raison de liens connus ou supposés avec des organisations terroristes. Avec plus de 1,5 million d'entrées au total, les données comprenaient des noms ainsi que des dates de naissance. Le pirate a toutefois précisé que ces données comprenaient de multiples pseudonymes qui font tous référence à la même personne.
Ce qui place le nombre d'individus uniques bien en dessous de 1,5 million. Plusieurs personnalités figuraient sur la liste, dont le marchand d'armes russe Viktor Bout, libéré récemment dans le cadre d'un échange de prisonniers en la Russie et les États-Unis, ainsi que plus de 16 pseudonymes potentiels. Les pseudonymes comprenaient différentes orthographes courantes de son nom de famille et d'autres versions de son prénom, avec des dates de naissance différentes. La plupart des anniversaires correspondent à la date de naissance de Bout. Des membres présumés de l'IRA, l'organisation paramilitaire irlandaise, figuraient également sur la liste.
Selon crimew, un autre individu de la liste était répertorié comme ayant 8 ans d'après son année de naissance. En outre, il rapporte que de nombreuses entrées de la liste comportaient des noms qui semblaient être d'origine arabe ou moyen-orientale, bien que des noms à consonance hispanique et anglicane figuraient également sur la liste. De nombreux noms comportaient des pseudonymes qui étaient des fautes d'orthographe courantes ou des versions légèrement modifiées de leur nom. Il a ajouté que sur le serveur se trouvait une grande quantité de données d'entreprise concernant CommuteAir, y compris les informations privées de ses employés.
D'après les informations fournies par le pirate informatique suisse, le serveur géré par CommuteAir contenait également les numéros de passeport, les adresses et les numéros de téléphone d'environ 900 employés de l'entreprise. Les informations d'identification des utilisateurs de plus de 40 compartiments Amazon S3 et de serveurs gérés par CommuteAir ont également été exposées. Jenkins est un outil open source qui fournit des serveurs d'automatisation qui aident à la création, au test et au déploiement de logiciels. Shodan est un moteur de recherche utilisé par la communauté de la cybersécurité pour localiser les serveurs exposés à l'Internet ouvert.
« C'est tout simplement fou de voir à quel point cette base de données de dépistage du terrorisme est grande et pourtant, on y trouve encore des tendances très nettes vers des noms à consonance presque exclusivement arabe et russe parmi le million d'entrées. C'est une excroissance perverse de l'État policier et de surveillance des États-Unis. Il s'agit juste d'une liste sans aucune procédure régulière principalement basée sur le fait qu'ils s'apparentent à quelqu'un ou qu'ils viennent du même village que quelqu'un. C'est tellement massif. J'ai l'impression que cela n'a sa place nulle part. J'ai l'impression que cela ne résout pas le problème », a déclaré crimew.
Il a déclaré qu'il n'était pas choqué de tomber sur une copie non sécurisée de la No Fly List. « Je fouille dans divers [serveurs] Jenkins depuis un moment et il y a juste tellement de choses à trouver. C'était juste une question de temps avant que je ne trouve quelque chose comme ça ». Dans une déclaration, la Transportation Security Administration (TSA) des États-Unis a dit qu'elle était consciente d'un incident potentiel de cybersécurité avec CommuteAir, et qu'elle enquête en coordination avec ses partenaires fédéraux. CommuteAir a déclaré que l'infrastructure exposée, qu'elle a décrite comme un serveur de développement, était utilisée à des fins de test.
CommuteAir a ajouté que le serveur, qui a été mis hors ligne, n'a pas exposé d'informations sur les clients selon une enquête initiale. La société a également confirmé la légitimité des données, affirmant qu'il s'agissait d'une version de la liste fédérale d'interdiction de vol datant de 2019. « Le serveur contenait des données provenant d'une version 2019 de la liste fédérale d'interdiction de vol. En outre, certaines informations sur les employés et les vols de CommuteAir étaient accessibles. Nous avons soumis une notification à l'Agence de cybersécurité et de sécurité des infrastructures et nous poursuivons une enquête complète », a déclaré l'entreprise.
Les États-Unis maintiennent une liste d'interdiction de vol depuis des décennies, mais son nombre était beaucoup plus faible dans les jours précédant les attentats du 11 septembre 2001 et ne contenait que 16 personnes. Mais selon les analystes, après les attentats et la création du département américain de la Sécurité intérieure, la liste s'est rapidement étendue. Le nombre exact de personnes figurant sur la liste reste inconnu, et les données divulguées datent de quelques années et contiennent plusieurs entrées pour un seul individu. Cependant, des estimations récentes situent le nombre total de personnes figurant sur la liste entre 47 000 et 81 000 personnes.
Selon le FBI, la base de données de filtrage des terroristes est une liste d'individus partagée par plusieurs ministères afin d'éviter le type d'erreurs de renseignement qui s'est produit avant le 11 septembre....
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.