Une récente découverte par des chercheurs a mis en lumière une vulnérabilité alarmante dans la sécurité aéroportuaire, révélant des failles qui pourraient potentiellement permettre l’accès non autorisé aux zones sensibles des aéroports. Cette situation soulève des questions cruciales sur la protection de nos infrastructures de transport et les mesures en place pour assurer la sécurité des passagers.
Pourquoi c’est important : Des chercheurs en sécurité ont découvert une vulnérabilité majeure qui aurait pu permettre à n’importe qui de contourner la sécurité des aéroports et même d’accéder aux cockpits des avions. La faille a été trouvée dans le système de connexion utilisé par la Transportation Security Administration (TSA) pour vérifier les membres d’équipage des compagnies aériennes aux points de contrôle.
L’histoire a commencé en avril lorsque les chercheurs Ian Carroll et Sam Curry exploraient un site Web tiers appelé FlyCASS. Ce fournisseur fournit aux petites compagnies aériennes un accès aux bases de données Known Crewmember (KCM) et Cockpit Access Security System (CASS) de la TSA. En testant la page de connexion du site, ils ont remarqué qu’une erreur MySQL révélatrice apparaissait après l’insertion d’une apostrophe, signe classique d’une faille d’injection SQL.
Pour ceux qui ne connaissent pas cette technique, l’injection SQL consiste à insérer un code malveillant dans les requêtes d’une application pour manipuler la base de données du backend de manière illicite. Dans ce cas, les chercheurs ont réalisé que FlyCASS interpolait les noms d’utilisateur directement dans ses requêtes SQL, ce qui le rendait vulnérable à l’exploitation.
En exploitant cette faille, les deux hommes ont réussi à se connecter en tant qu’administrateur d’une compagnie aérienne. Une fois à l’intérieur, ils n’ont constaté aucun contrôle de sécurité supplémentaire, ce qui leur a donné carte blanche pour créer de faux comptes d’équipage, avec des numéros d’employé et des versions d’identité avec photo.
En avril, @samwcyo et j’ai découvert un moyen de contourner la sécurité de l’aéroport via une injection SQL dans une base de données de membres d’équipage. Malheureusement, le DHS nous a ignorés après que nous ayons révélé le problème, et la TSA a tenté de dissimuler ce que nous avions découvert.
Voici notre article : https://t.co/g9orwwgoxt
– Ian Carroll (@iangcarroll) 29 août 2024
Carrol a ajouté que toute personne disposant de « connaissances de base » sur l’injection SQL pourrait exploiter le bug et accéder au site.
Après avoir pris conscience de la gravité du problème, Carroll et Curry l’ont signalé au Département de la sécurité intérieure le 23 avril. L’agence mère de la TSA a confirmé que la vulnérabilité était légitime et a fait déconnecter FlyCASS des bases de données fédérales le 7 mai à titre de mesure temporaire.
Heureusement, la vulnérabilité a été corrigée peu de temps après sur FlyCASS.
Le processus de divulgation a toutefois connu un revers lorsque le DHS a soudainement cessé de répondre à d’autres tentatives de coordination. Les chercheurs affirment que le service de presse de la TSA a émis des « déclarations dangereusement incorrectes » sur la vulnérabilité.
Le porte-parole de la TSA, R. Carter Langston, a déclaré qu’aucune donnée ou système gouvernemental n’avait été compromis en raison de cette vulnérabilité. Il a ajouté que l’agence ne s’appuyait pas uniquement sur la base de données et avait mis en place des procédures « pour vérifier l’identité des membres d’équipage, et que seuls les membres d’équipage vérifiés étaient autorisés à accéder aux zones sécurisées des aéroports ».