Des chercheurs en sécurité ont découvert une vulnérabilité dans un système clé de sécurité du transport aérien qui permettait à des personnes non autorisées de contourner potentiellement les contrôles de sécurité des aéroports et d’accéder aux cockpits des avions.

Les chercheurs Ian Carroll et Sam Curry ont découvert la vulnérabilité dans FlyCASS, un service Web tiers que certaines compagnies aériennes utilisent pour gérer le programme Known Crewmember (KCM) et le Système de sécurité d’accès au poste de pilotage (CASS). KCM est une initiative de la Transportation Security Administration (TSA) qui permet aux pilotes et aux agents de bord d’éviter les contrôles de sécurité, et les SAE permettent aux pilotes autorisés d’utiliser des sièges d’appoint dans les cockpits lorsqu’ils voyagent.

Le système KCM, exploité par ARINC (une filiale de Collins Aerospace), vérifie les informations d’identification des employés des compagnies aériennes via une plateforme en ligne. Le processus consiste à scanner un code-barres KCM ou à saisir un numéro d’employé, puis à effectuer une vérification croisée avec la base de données de la compagnie aérienne pour accorder l’accès sans nécessiter de contrôle de sécurité. De même, le système CASS vérifie les pilotes pour l’accès au siège de saut du poste de pilotage lorsqu’ils doivent se déplacer ou voyager.

Les chercheurs ont découvert que le système de connexion de FlyCASS était sensible à l’injection SQL, une vulnérabilité qui permet aux attaquants d’insérer des instructions SQL pour des requêtes de base de données malveillantes. En exploitant cette faille, ils pouvaient se connecter en tant qu’administrateur pour une compagnie aérienne participante, Air Transport International, et manipuler les données des employés dans le système.

Ils ont ajouté un employé fictif, « Test TestOnly », et ont accordé à ce compte l’accès à KCM et CASS, ce qui leur a effectivement permis de  » sauter le contrôle de sécurité, puis d’accéder aux cockpits des avions de ligne commerciaux. »

« Toute personne ayant des connaissances de base en injection SQL pouvait se connecter à ce site et ajouter qui elle voulait à KCM et CASS, se permettant à la fois de sauter le contrôle de sécurité et d’accéder ensuite aux cockpits des avions de ligne commerciaux », a déclaré Carroll.

​Réalisant la gravité du problème, les chercheurs ont immédiatement entamé un processus de divulgation, contactant le Département de la Sécurité intérieure (DHS) le 23 avril 2024. Les chercheurs ont décidé de ne pas contacter directement le site de FlyCASS car il semblait être géré par une seule personne et craignaient que la divulgation ne les alarme.

Le DHS a répondu, reconnaissant la gravité de la vulnérabilité, et a confirmé que FlyCASS avait été déconnecté du système KCM/CASS le 7 mai 2024, par mesure de précaution. Peu de temps après, la vulnérabilité a été corrigée sur FyCASS.

Cependant, les efforts visant à coordonner davantage la divulgation sécurisée de la vulnérabilité ont rencontré une résistance après que le DHS a cessé de répondre à leurs courriels.

Le bureau de presse de la TSA a également envoyé aux chercheurs une déclaration niant l’impact de la vulnérabilité, affirmant que le processus de vérification du système empêcherait tout accès non autorisé. Après avoir été informée par les chercheurs, la TSA a également discrètement supprimé de son site Web des informations qui contredisaient ses déclarations.

« Après en avoir informé la TSA, ils ont supprimé la section de leur site Web qui mentionne la saisie manuelle d’une pièce d’identité d’employé et n’ont pas répondu à notre correction. Nous avons confirmé que l’interface utilisée par les GRT permet toujours la saisie manuelle des identifiants des employés », a déclaré Carroll.

Carroll a également déclaré que la faille aurait pu permettre des failles de sécurité plus étendues, telles que la modification des profils des membres existants de KCM pour contourner tout processus de vérification des nouveaux membres.

Après la publication du rapport des chercheurs, un autre chercheur nommé Alesandro Ortiz a découvert que FlyCASS semblait avoir subi une attaque de ransomware MedusaLocker en février 2024, avec une analyse Joe Sandbox montrant des fichiers cryptés et une demande de rançon.

​ »En avril, la TSA a pris connaissance d’un rapport selon lequel une vulnérabilité dans la base de données d’un tiers contenant des informations sur les membres d’équipage des compagnies aériennes avait été découverte et qu’en testant la vulnérabilité, un nom non vérifié avait été ajouté à une liste de membres d’équipage dans la base de données. Aucune donnée ou système gouvernemental n’a été compromis et il n’y a aucun impact sur la sécurité des transports lié aux activités », a déclaré l’attaché de presse de la TSA, R. Carter Langston, à Breachtrace .

«  »La TSA ne s’appuie pas uniquement sur cette base de données pour vérifier l’identité des membres d’équipage. La TSA a mis en place des procédures pour vérifier l’identité des membres d’équipage et seuls les membres d’équipage vérifiés sont autorisés à accéder à la zone sécurisée des aéroports. La TSA a travaillé avec les parties prenantes pour atténuer les vulnérabilités cybernétiques identifiées. »

Breachtrace a également contacté le DHS plus tôt dans la journée, mais un porte-parole n’était pas immédiatement disponible pour commenter.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *