Des chercheurs ont découvert une vulnérabilité critique dans un système utilisé pour vérifier l'identité des pilotes et du personnel navigant. Cette faille aurait pu permettre à n'importe qui de contourner les contrôles et d'accéder aux cockpits.
S'il est bien un endroit au sein duquel on s'attend à ce que la sécurité soit irréprochable, c'est bien l'aéroport et l'avion. Mais parfois, la réalité rattrape ces attentes. C'est ce qui vient d'arriver aux États-Unis, où une faille de sécurité majeure a été découverte dans le système de contrôle des équipages. Ian Carroll et Sam Curry, deux chercheurs en cybersécurité, ont mis la main sur une vulnérabilité d'injection SQL dans FlyCASS, un service utilisé par certaines compagnies aériennes pour gérer l'accès des pilotes et du personnel navigant.
Et cette faille n'est pas une paille. Elle aurait pu permettre à n'importe qui avec des connaissances basiques en informatique de s'ajouter comme membre d'équipage autorisé avec la possibilité de contourner les contrôles de sécurité et même d'accéder aux cockpits des avions de ligne. Et on le verra, rien à voir avec les arnaques que tout voyageur aérien doit connaître avant de s'envoyer en l'air.
Une injection SQL qui fait trembler la sécurité aérienne
Le programme Known Crewmember (KCM) de la Transportation Security Administration (TSA) est un système qui permet aux pilotes et agents de bord de passer les contrôles de sécurité plus rapidement. En parallèle, le Cockpit Access Security System (CASS) gère l'accès des pilotes aux strapontins dans les cockpits.
Ce qu'ont découvert les chercheurs, c'est que FlyCASS, le service Web utilisé par certaines compagnies pour gérer ces accès, présentait une faille d'injection SQL. Cette brèche leur a permis de se connecter comme administrateurs d'une compagnie aérienne et ajouter un employé fictif. Ce faux membre d'équipage avait alors tous les droits pour contourner la sécurité et accéder aux zones sensibles.
Pour les non-initiés, une injection SQL permet d'insérer des commandes malveillantes dans une base de données. Ici, c'était aussi simple que d'entrer des caractères spéciaux dans le champ de connexion. Une faille basique, mais aux conséquences potentiellement désastreuses pour la sécurité aérienne.
La réponse des autorités : entre prise de conscience et déni
Comme le veut la tradition, et conscients de la gravité de leur découverte, Ian Carroll et Sam Curry ont immédiatement alerté le Département de la Sécurité Intérieure (DHS) en avril 2024. La réaction initiale a été rapide : FlyCASS a été déconnecté des systèmes KCM et CASS dès le 7 mai. Jusqu'ici, tout allait pour le mieux dans le meilleur des mondes.
À ce petit détail près que la communication s'est enrayée. Le DHS a cessé de répondre aux chercheurs. Et pour ne rien arranger, la TSA a publié des déclarations dans lesquelles elle a nié l'impact de la vulnérabilité. Elle affirmait que son processus de vérification empêchait tout accès non autorisé.
Les chercheurs ont pointé du doigt cette contradiction. Ils ont démontré qu'il était toujours possible de saisir manuellement un identifiant d'employé, et ainsi d'exploiter la faille. Ce à quoi la TSA a réagi en modifiant discrètement les informations sur son site Web, sans reconnaître publiquement le problème.
Cette gestion de crise laisse un goût amer. D'un côté, une réaction initiale rapide pour colmater la brèche. De l'autre, un manque de transparence et une communication défaillante. De quoi vous faire préférer le vélo.
Source : ian sh