Posté le janvier 23, 2023 à 6:27
MAIA, UN HACKER SUISSE, ACCÈDE À LA LISTE DES PERSONNES INTERDITES DE VOL AUX ÉTATS-UNIS
Un hacker répondant au nom de maia arson crimew a réussi à prendre le monde par surprise. Ce hacker de 23 ans a réussi à pénétrer la sécurité des États-Unis et à obtenir la liste complète des personnes interdites de vol par le gouvernement Américain. Au total, 1,5 million de terroristes connus ou présumés figuraient sur cette liste. Le plus beau dans cette histoire, c’est qu’il n’y avait pas d’ordre du jour, pas d’objectif. Maia a accédé à la liste sans aucun but précis, par simple ennui.
Un hacker qui s’ennuie provoque des remous
Comme on peut l’imaginer, cela a provoqué une agitation spectaculaire dans de nombreux milieux. Alors que la liste des personnes interdites de vol date de 2019, un membre républicain du Congrès Américain est déjà très mécontent de cette affaire. Sans parler du mandat d’arrêt lancé contre maia, de son vrai nom Tillie Kottmann.
Quant à savoir comment la liste a été obtenue, c’est une histoire complexe en soi. Maia a révélé sur son blog que l’aventure a commencé parce qu’elle s’ennuyait. Elle a décidé de parcourir les serveurs Jenkins exposés pour chasser cet ennui, en utilisant zoomeye, un outil de recherche. Grâce à cette exploration occasionnelle, elle est tombée sur un serveur de CommuteAir, une compagnie aérienne nationale Américaine. Ce serveur, une fois que maia l’a exploré, a révélé un trésor absolu de données personnelles d’utilisateurs.
Exposé pour que tout le monde puisse y accéder
Dans son blog, elle explique qu’elle a réussi à accéder aux espaces de travail de CommuteAir et qu’elle a commencé à travailler à partir de là. Elle était capable d’accéder à divers référentiels de construction de la compagnie aérienne. Dans son blog, elle souligne que lorsqu’elle a réussi à trouver le trafic ACARS, elle était déjà en train de contacter les médias pour tenter de rendre cette histoire publique.
En cherchant dans son travail, elle est tombée sur des données relatives à la liste des personnes interdites de vol, et après avoir cherché dans divers fichiers, elle a finalement réussi à retrouver un fichier contenant la liste complète des personnes interdites de vol aux États-Unis en 2019. Elle a finalement réussi à envoyer les informations relatives à cette affaire au DailyDot, qui a écrit un article exclusif sur ces informations.
Les gens sont plutôt mécontents
Selon les propres mots de Maia, elle a réussi à pénétrer dans CommuteAir en moins d’une journée, en se procurant la liste des personnes interdites de vol. Elle n’a même pas utilisé toutes ses compétences techniques. Selon elle, c’était plutôt un exercice de patience.
Le représentant Dan Bishop, membre du Congrès Américain, n’a pas été ravi de la découverte de cette affaire. Il a décrit la liste qui a fait l’objet de la fuite comme un « cauchemar pour les libertés civiles » et s’est dit extrêmement contrarié par le fait que ces informations traînaient sur un serveur Jenkins non sécurisé. La seule raison pour laquelle il a été violé est littéralement parce que personne ne s’est soucié de le sécuriser, même de façon marginale.
Les porte-parole de CommuteAir ont rapidement tenté d’éteindre les flammes de ce désordre. Ils ont rapidement assuré au public qu’aucune information sur les clients n’avait été divulguée, bien que les informations sur les employés aient été entièrement exposées par maia. Ils ont également insisté sur le caractère obsolète de la liste des interdictions de vol, en essayant de limiter autant que possible l’inévitable coup de marteau.
Une situation courante
Il semble que les serveurs Jenkins exposés soient plus fréquents qu’on ne le pense. Un certain nombre d’experts en cybersécurité commentent la débâcle de la fuite de la No-Fly List, soulignant que la pratique consistant à oublier de sécuriser les serveurs Jenkins utilisés pour les tests est malheureusement courante.
Sammy Migues, scientifique principal du groupe d’intégrité logicielle de Synopsys, a déclaré que les serveurs publics tels que ceux auxquels maia a eu accès sont le pain et le beurre des hackers, car ils constituent l’un des moyens les plus accessibles pour obtenir des informations sensibles. Migues explique que c’est d’autant plus vrai lorsque le serveur est non sécurisé depuis si longtemps qu’il apparaît sur Zoomeye ou Shodan.
M. Migues a souligné qu’un grand nombre d’entreprises utilisent la technologie cloud sans impliquer les personnes ayant les compétences et les connaissances nécessaires pour assurer leur sécurité. Selon lui, un serveur mal configuré équivaut à laisser votre porte d’entrée ouverte aux criminels, et maia lui a donné raison.
La loi de Murphy stipule que tout ce qui peut mal tourner tournera mal avec le temps. Ceci étant dit, il est fort probable que quelqu’un ait été très sévèrement réprimandé pour cette erreur en interne. La liste des personnes interdites de vol, bien qu’elle ne soit pas accessible à tous, peut être consultée par les journalistes s’ils contactent maia à ce sujet. Quoi qu’il en soit, cette affaire a provoqué un tollé, et le fera sans doute encore pendant un certain temps. Un serveur exposé au public d’une telle importance doit généralement être sécurisé, et le travail de quelqu’un qui n’est probablement plus en poste consistait à le faire.
