Une copie de l’dition 2019 de la liste des personnes interdites de vol (No Fly List) des tats-Unis a t divulgue aprs avoir t stocke sur un serveur non scuris gr par la compagnie arienne commerciale CommuteAir. Le serveur contiendrait les identits de centaines de milliers de personnes figurant dans la base de donnes de dpistage des terroristes et la liste des personnes interdites de vol du gouvernement amricain. En outre, la liste compterait plus de 1,5 million d’entres au total et les donnes comprenaient des noms ainsi que des dates de naissance. Elles comprenaient galement de multiples pseudonymes.
La liste des personnes interdites de vol est une liste officielle tenue jour par plusieurs gouvernements dans le monde, ainsi que par certaines organisations rgionales comme l’Union europenne. Cette liste rpertorie gnralement les personnes auxquelles les pays ou les organisations rgionales ont interdit de voyager sur des vols commerciaux en provenance et destination de leurs territoires. Du ct des tats-Unis, cette liste aurait l’objet de fuite. Un pirate informatique suisse a dcouvert la liste sur un serveur Jenkins non scuris, une nuit, en farfouillant sur Shodan, un moteur de recherche qui permet de consulter les serveurs connects Internet.
Comme beaucoup d’autres de mes hacks, cette histoire commence par l’ennui et la navigation sur Shodan (techniquement, sur Zoomeye, le Shodan chinois), la recherche de serveurs Jenkins exposs qui pourraient contenir des lments intressants. J’ai probablement cliqu sur une vingtaine de serveurs exposs ennuyeux, avec trs peu d’intrt, quand je commence soudain voir des mots familiers. ‘ACARS’, beaucoup de mentions de ‘crew’ et ainsi de suite. Beaucoup de mots que j’ai dj entendus, probablement en regardant des vidos YouTube de Mentor Pilot. Jackpot. Un serveur Jenkins expos appartenant CommuteAir , a-t-il dclar.
Dans un billet de blogue sur la fuite, le pirate, qui est connu sous le nom de maia arson crimew, affirme que l’analyse du serveur a permis de dcouvrir un fichier texte nomm « NoFly.csv », qui fait rfrence au sous-ensemble de personnes figurant dans la base de donnes de filtrage des terroristes qui ont t interdites de voyage en avion en raison de liens connus ou supposs avec des organisations terroristes. Avec plus de 1,5 million d’entres au total, les donnes comprenaient des noms ainsi que des dates de naissance. Le pirate a toutefois prcis que ces donnes comprenaient de multiples pseudonymes qui font tous rfrence la mme personne.
Ce qui place le nombre d’individus uniques bien en dessous de 1,5 million. Plusieurs personnalits figuraient sur la liste, dont le marchand d’armes russe Viktor Bout, libr rcemment dans le cadre d’un change de prisonniers en la Russie et les tats-Unis, ainsi que plus de 16 pseudonymes potentiels. Les pseudonymes comprenaient diffrentes orthographes courantes de son nom de famille et d’autres versions de son prnom, avec des dates de naissance diffrentes. La plupart des anniversaires correspondent la date de naissance de Bout. Des membres prsums de l’IRA, l’organisation paramilitaire irlandaise, figuraient galement sur la liste.
Selon crimew, un autre individu de la liste tait rpertori comme ayant 8 ans d’aprs son anne de naissance. En outre, il rapporte que de nombreuses entres de la liste comportaient des noms qui semblaient tre d’origine arabe ou moyen-orientale, bien que des noms consonance hispanique et anglicane figuraient galement sur la liste. De nombreux noms comportaient des pseudonymes qui taient des fautes d’orthographe courantes ou des versions lgrement modifies de leur nom. Il a ajout que sur le serveur se trouvait une grande quantit de donnes d’entreprise concernant CommuteAir, y compris les informations prives de ses employs.
D’aprs les informations fournies par le pirate informatique suisse, le serveur gr par CommuteAir contenait galement les numros de passeport, les adresses et les numros de tlphone d’environ 900 employs de l’entreprise. Les informations d’identification des utilisateurs de plus de 40 compartiments Amazon S3 et de serveurs grs par CommuteAir ont galement t exposes. Jenkins est un outil open source qui fournit des serveurs d’automatisation qui aident la cration, au test et au dploiement de logiciels. Shodan est un moteur de recherche utilis par la communaut de la cyberscurit pour localiser les serveurs exposs l’Internet ouvert.
C’est tout simplement fou de voir quel point cette base de donnes de dpistage du terrorisme est grande et pourtant, on y trouve encore des tendances trs nettes vers des noms consonance presque exclusivement arabe et russe parmi le million d’entres. C’est une excroissance perverse de l’tat policier et de surveillance des tats-Unis. Il s’agit juste d’une liste sans aucune procdure rgulire principalement base sur le fait qu’ils s’apparentent quelqu’un ou qu’ils viennent du mme village que quelqu’un. C’est tellement massif. J’ai l’impression que cela n’a sa place nulle part. J’ai l’impression que cela ne rsout pas le problme , a dclar crimew.
Il a dclar qu’il n’tait pas choqu de tomber sur une copie non scurise de la No Fly List. Je fouille dans divers [serveurs] Jenkins depuis un moment et il y a juste tellement de choses trouver. C’tait juste une question de temps avant que je ne trouve quelque chose comme a . Dans une dclaration, la Transportation Security Administration (TSA) des tats-Unis a dit qu’elle tait consciente d’un incident potentiel de cyberscurit avec CommuteAir, et qu’elle enqute en coordination avec ses partenaires fdraux. CommuteAir a dclar que l’infrastructure expose, qu’elle a dcrite comme un serveur de dveloppement, tait utilise des fins de test.
CommuteAir a ajout que le serveur, qui a t mis hors ligne, n’a pas expos d’informations sur les clients selon une enqute initiale. La socit a galement confirm la lgitimit des donnes, affirmant qu’il s’agissait d’une version de la liste fdrale d’interdiction de vol datant de 2019. Le serveur contenait des donnes provenant d’une version 2019 de la liste fdrale d’interdiction de vol. En outre, certaines informations sur les employs et les vols de CommuteAir taient accessibles. Nous avons soumis une notification l’Agence de cyberscurit et de scurit des infrastructures et nous poursuivons une enqute complte , a dclar l’entreprise.
Les tats-Unis maintiennent une liste d’interdiction de vol depuis des dcennies, mais son nombre tait beaucoup plus faible dans les jours prcdant les attentats du 11 septembre 2001 et ne contenait que 16 personnes. Mais selon les analystes, aprs les attentats et la cration du dpartement amricain de la Scurit intrieure, la liste s’est rapidement tendue. Le nombre exact de personnes figurant sur la liste reste inconnu, et les donnes divulgues datent de quelques annes et contiennent plusieurs entres pour un seul individu. Cependant, des estimations rcentes situent le nombre total de personnes figurant sur la liste entre 47 000 et 81 000 personnes.
Selon le FBI, la base de donnes de filtrage des terroristes est une liste d’individus partage par plusieurs ministres afin d’viter le type d’erreurs de renseignement qui s’est produit avant le 11 septembre. Elle comprend la liste des personnes interdites de vol, plus petite et plus troitement contrle. Les personnes figurant dans la base de donnes de filtrage des terroristes peuvent tre soumises certaines restrictions et des contrles de scurit supplmentaires. Les personnes figurant explicitement sur la liste des personnes interdites de vol n’ont pas le droit de monter bord d’un avion aux tats-Unis.
La dcouverte de crimew n’est pas la premire fois qu’une version non scurise de la base de donnes de filtrage des terroristes est expose en ligne. Le chercheur en scurit Volodymyr « Bob » Diachenko a trouv une copie dtaille de la liste de surveillance du terrorisme avec 1,9 million d’entres en 2021. Mais Diachenko n’a jamais reu la confirmation officielle que sa liste tait authentique. Par ailleurs, bien que la liste soit trs secrte et fasse rarement l’objet de fuites, elle n’est pas considre comme un document classifi en raison du nombre d’agences et de personnes qui doivent y avoir accs.
La liste d’interdiction de vol a rgulirement t critique par des experts en matire de vie prive et de liberts civiles. Au cours des 20 dernires annes, les citoyens amricains que nous avons vus tre cibls par les listes de surveillance sont de manire disproportionne des musulmans et des personnes d’origine arabe, moyen-orientale ou sud asiatique. Parfois, il s’agit de personnes dissidentes ou ayant des opinions considres comme impopulaires. Nous avons galement vu des journalistes figurer sur une liste de surveillance , a dclar Hina Shamsi, directrice du National Security Project l’American Civil Liberties (ACLU).
L’ACLU a russi obtenir que les citoyens puissent contester leur inscription sur la liste. Toutefois, il reste encore du travail faire pour amliorer la transparence de la liste. C’est dj un systme massif et gonfl, et la croissance est exactement le genre de chose qui se produit lorsque vous avez un systme vague et trop large de ce qui est essentiellement une surveillance gouvernementale base sur la suspicion et sans aucune procdure rgulire , a dclar Shamsi.
Source : Billet de blogue
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi