Ceux qui voyagent fréquemment le savent bien: les contrôles de sécurité avant l’embarquement dans un avion ne cessent d’augmenter, avec à la clé un nombre croissant d’appareils spécialisés, chargés d’améliorer la fouille high-tech des passagers. A l’occasion de la conférence BlackHat 2014, le chercheur en sécurité Billy Rios de Qualys a jeté un gros pavé dans la mare en démontrant le faible niveau de sécurité de ces appareils et de leur gestion, dans les aéroports américains. En occurrence, il en a disséqué trois: un scanner aux rayons X (Rapidscan 522B d’OSI Systems), un détecteur de traces chimiques (Itemizer 3 de Morpho Systems) et un lecteur d’empreintes (Kronos).
Ces systèmes, que M. Rios a tout simplement achetés sur eBay, contiennent tous des portes dérobées liées à la maintenance technique: des mots de passe codés en dur dans le code source. « C’est un problème typique des systèmes embarqués, explique Billy Rios. Pour pouvoir accéder plus facilement aux appareils, le technicien de l’éditeur ou de l’intégrateur dispose d’un accès propre au logiciel d’administration. Ainsi, il n’a pas besoin de demander au client une autorisation pour intervenir en cas de panne ou de maintenance. Ce qui permet d’aller plus vite. »
Le problème, c’est que ces mots de passe peuvent être récupérés par une analyse poussée du firmware, comme vient de le prouver le chercheur. Souvent, le même mot de passe est déployé sur plusieurs appareils, ce qui amplifie le risque. Enfin, implémentés directement dans le code source, ces mots de passe ne peuvent pas être changés aisément en cas de compromission. Il faudrait recompiler l’application et mettre à jour le firmware.
Mais M. Rios a fait d’autres découvertes croustillantes. Dans le cas du lecteur d’empreintes Kronos, dont le but est d’identifier le personnel chargé les contrôles, les accès peuvent se faire à distance par Telnet ou FTP. En faisant un scan sur le Web, le chercheur en a trouvé d’emblée près de 6000 qui répondaient présents, dont certains déployés dans deux grands aéroports américains. Quant à la carte mère de l’appareil, elle est de fabrication chinoise. « En somme, nous avons donc des cartes mères de fabrication étrangère qui permettent de savoir quel employé de sécurité est présent à quel moment », souligne Billy Rios.
Selon le chercheur, si une pierre doit être jetée sur quelqu’un, c’est sur l’organisation utilisatrice, à savoir la TSA (Transportation Security Administration). Celle-ci n’a visiblement pas réalisé les audits techniques nécessaires pour se rendre compte des faiblesses de ces équipements. Pour sa part, le constructeur Morpho Systems – une filiale du groupe français Safran – a indiqué qu’il allait mettre à jour ses équipements, tout en précisant que le modèle en question n’était plus utilisé par la TSA.
Retrouvez d’autres informations sur la conférence Black Hat dans notre dossier spécial
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.