Si vous essayez de penser à l’endroit le plus sûr au monde, vous pensez certainement aux bunkers militaires ou aux coffres forts du président américain. Mais pour nous les citoyens ordinaires, la sécurité la plus stricte que nous pouvons trouver se situe bien évidemment dans les aéroports. Les équipes de sécurité armées, les multiples écrans, et les systèmes de vérification d’identité à 360 degrés, tous permettent d’empêcher les terroristes et les criminels d’accéder à bord de ces énormes Boeings et Airbus. C’est pourquoi il a été choquant pour moi de découvrir que les équipes de la TSA (l’agence nationale américaine de la sécurité des transports) et autres agences similaires font bien plus attention à la sécurité physique qu’à la cybersécurité.
Une présentation sur le sujet a été donnée lors de la conférence SAS 2014 par les chercheurs de Qualys, Billy Rios et Terry McCorkle, qui ont exploré un système très important au sein de la sécurité des aéroports – le scanner à rayons X. Il s’agit de la machine à travers laquelle vous passez vos sacs et qui en montre ensuite le contenu sur l’écran de l’opérateur. L’appareil est contrôlé par un panneau spécial : il ne ressemble pas vraiment à un ordinateur mais il s’agit essentiellement d’un scanner hautement spécialisé connecté à un ordinateur qui utilise un logiciel particulier en plus de Windows. Rios et McCorkle ont acheté une Rapiscan 522B de seconde main, via une vente aux enchères en ligne et ont examiné les composants de son logiciel. Les résultats ont été assez choquants pour les spécialistes en sécurité. Premièrement, l’ordinateur utilise Windows 98 qui a exactement 15 ans. Microsoft ne le supporte plus depuis des années et vous pouvez certainement imaginer le nombre de vulnérabilités exploitables qui n’ont pas été corrigées qui existent sur ces vieilles machines. À l’époque, pour infecter un ordinateur, il suffisait de se connecter à son réseau et de parler à son système d’exploitation, sans même avoir à effectuer des recherches additionnelles sur la configuration de son système. Deuxièmement, le logiciel de sécurité lui-même s’est avéré être extrêmement concentré sur la sécurité physique, comme par exemple sur le contenu des sacs. La sécurité informatique n’était définitivement pas une priorité. Les mots de passe de l’opérateur sont sauvegardés en texte clair et il existe de nombreuses manières de s’authentifier dans le système sans même connaitre les noms d’utilisateur et autres détails du genre. « Il vous dit qu’il y a une erreur, mais ensuite vous entrez dans le système », a expliqué Rios. Néanmoins, le troisième élément qu’ils ont découvert est encore plus important.
Pistolets virtuels
L’image sur l’écran de l’opérateur est essentiellement une simulation informatique, car les scanneurs à rayons X n’inclut pas de couleurs. L’ordinateur réalise une lecture de l’image adaptée, qui permet à l’opérateur de détecter rapidement les objets métalliques, les liquides, etc. Plusieurs « filtres » sont disponibles mais le logiciel va bien plus loin. Le niveau de détection des menaces de la machine étant extrêmement bas (de nos jours, personne n’essaie d’introduire des pistolets à bord), les superviseurs maintiennent les opérateurs alertes en insérant de temps en temps l’image d’une arme par dessus le vrai contenu d’un sac. Quand l’opérateur voit le couteau ou le pistolet (le système contient des douzaines d’images de ce genre), il doit presser un bouton. Dans ce genre de scénario, aucune alarme ne sera déclenchée mais le système enregistrera l’attention de l’opérateur. Cette astuce est maligne mais elle suscite également des inquiétudes. Quelle genre d’autres modifications pourraient être apportées à cette image ? Serait-il possible d’ajouter une image neutre à la base de données et de la placer par dessus un pistolet sur l’écran ? Un tel piratage est possible en théorie, surtout si l’on tient en compte le logiciel vulnérable et dépassé du scanner testé.
Pas d’inquiétudes ?
N’annulez pas votre prochain vol, la situation n’est pas aussi mauvaise que vous le croyez. Premièrement, les ordinateurs des zones de sécurité des aéroports sont isolés d’Internet. Il est toujours possible de les pirater localement mais cela constitue un défi supplémentaire aux éventuels pirates. Deuxièmement, il existe de nombreux fabricants de machines à rayons X et les chercheurs de Qualys n’en n’ont testé qu’une (et elle n’est pas récente). J’espère sincèrement que les autres sont plus sécurisées. Troisièmement, la sécurité des aéroports est séparées en couches et de nombreux spécialistes considèrent les mesures aussi visibles que les détecteurs de métaux et les machines à rayons X comme les moins importantes. Donc même dans le cas peu probable du mauvais fonctionnement d’une machine, il existe d’autres mesures de sécurité. Néanmoins, cette recherche nous apprend que les mesures de sécurité traditionnelles comme le contrôle de l’accès à la machine et l’isolation du réseau ne remplace pas d’autres couches dédiées à la cybersécurité. La TSA dispose de normes très détaillées qui décrivent la configuration de ces points de vérification, y compris des détails aussi minimes que les dimensions de la bassine en plastique utilisée par les passagers. Ces normes doivent également inclure une description détaillée des mesures de sécurité IT, car les systèmes des aéroports appartiennent définitivement à la catégorie des infrastructures critiques. Seules ces mesures pourront assurer notre sécurité à bord des avions sur le long terme.
PS : Cet article a été entièrement écrit à bord d’un Airbus A330 volant de Tenerife à Moscou. Malgré ces problèmes de vulnérabilités, je n’ai pas peur de voler.