Un conteneur de stockage de fichiers au format objet d'Amazon Web Services (AWS) n'a pas été correctement sécurisé, entraînant la fuite de millions de données provenant de la compagnie aérienne Pegasus Airlines.
Les équipes du spécialiste cyber Safety Detectives ont découvert qu'un « bucket » AWS S3, c'est-à-dire un conteneur qui permet de stocker dans le Cloud, au format objet, de nombreuses données et fichiers, était resté accessible en ligne, car laissé sans protection, sans mot de passe. Cette maladresse est d'autant plus grave que le bucket en question hébergeait des données critiques provenant de la compagnie aérienne turque Pegasus Airlines, propriété de la société de capital-investissement du même pays, Esas Holding AS. Voyons ce qu'il en est.
6,5 To de données critiques laissés à l'air libre
AWS S3 (Amazon Simple Storage Service), qui n'est autre que le service de stockage cloud du géant américain, est accessible via une interface web. Il permet de stocker des données et des fichiers depuis ce que l'on appelle des buckets. Grâce au Cloud, ces derniers sont ensuite accessibles, pour ses propriétaires, depuis n'importe quel appareil connecté à Internet.
Il se trouve que le bucket en question contenait les informations de type Electronic Flight Bag (EFB) de la compagnie low-cost Pegasus Airlines. Plus précisément, il pesait pour environ 6,5 To de données et hébergeait 23 millions de documents. 3,2 millions d'entre eux contenaient des données de vol sensibles.
Ces informations provenaient donc d'un logiciel EFB développé par Pegasus. Les données de type Electronic Flight Bag sont particulièrement critiques et sensibles. En effet, on parle ici d'un appareil qui permet à l'équipage d'un avion d'effectuer avec plus de facilité les tâches de gestion de vol, de navigation, de décollage, d'atterrissage, de ravitaillement en carburant ou de sécurité.
Des risques conséquents pour la compagnie, son personnel et ses passagers
Le bucket, qui a été découvert totalement ouvert le 28 février 2022, sans aucun mot de passe, contenait aussi des données telles que les cartes de vol, de révision, les documents de navigation, des informations sur les problèmes liés aux vérifications avant le vol, des documents d'assurance… On y trouvait également des données personnelles identifiables appartenant à l'équipage de la compagnie, avec des photos et des signatures.
Toutes ces informations, qui ont librement fuité, sont liées à Pegasus EFB, logiciel dont le code source a lui aussi été exposé, avec des mots de passe en texte brut et des clés secrètes contenus dans quelque 400 fichiers aux formats exe, apk, dll, msi et autres. Tombées entre de mauvaises mains, ces informations pourraient permettre de modifier des fichiers extrêmement sensibles. Et cette faille pourrait aussi toucher les compagnies aériennes affiliées, qui utilisent aussi Pegasus EFB, comme IZair et Air Manas.
La compagnie Pegasus Airlines a rapidement sécurisé le bucket AWS S3, mais il est à cet instant impossible de savoir si des hackers ou autres individus malveillants ont pu accéder au compartiment AWS S3 qui n'était pas protégé. Si tel est le cas, les conséquences pourraient être graves, jusqu'à une mise en danger du personnel de la compagnie, membres d'équipage compris, et des voyageurs.
« Un mauvais acteur pourrait identifier le personnel de l'avion via des photos, des signatures et des changements d'équipage, et les forcer à faire passer des marchandises, des armes ou des drogues à travers les frontières », explique Safety Detectives. De plus, les consignes de sécurité qui étaient disponibles pourraient permettre d'identifier les points faibles de la sécurité d'un avion ou d'un aéroport.
Vol de données : il n’y en a jamais eu autant qu’aujourd’hui, selon la CNIL
Source : Safety Detectives
