Deux chercheurs en sécurité affirment avoir découvert une vulnérabilité dans les systèmes de connexion aux enregistrements que la Transportation Security Administration (TSA) utilise pour vérifier les membres d’équipage des compagnies aériennes aux points de contrôle de sécurité des aéroports. Le bug permettait à toute personne ayant une « connaissance de base de l’injection SQL » de s’inscrire sur les listes des compagnies aériennes, leur permettant potentiellement de passer sans difficulté les contrôles de sécurité et d’entrer dans le cockpit d’un avion commercial. le chercheur Ian Carroll a écrit dans un article de blog en août.
Carroll et son partenaire, Sam Curry, ont apparemment découvert la vulnérabilité en sondant le site Web tiers d’un fournisseur appelé FlyCASS qui fournit aux petites compagnies aériennes un accès au système Known Crewmember (KCM) et au Cockpit Access Security System (CASS) de la TSA. Ils ont découvert que lorsqu’ils inséraient une simple apostrophe dans le champ du nom d’utilisateur, ils obtenaient une erreur MySQL.
C’était un très mauvais signe, car il semblait que le nom d’utilisateur était directement interpolé dans la requête SQL de connexion. Effectivement, nous avions découvert une injection SQL et avons pu utiliser sqlmap pour confirmer le problème. En utilisant le nom d’utilisateur ‘ ou ‘1’=’1 et le mot de passe ‘) OU MD5(‘1’)=MD5(‘1, nous avons pu nous connecter à FlyCASS en tant qu’administrateur d’Air Transport International !
Une fois à l’intérieur, écrit Carroll, « aucune vérification ou authentification supplémentaire » ne les a empêchés d’ajouter les dossiers et les photos des équipages de toute compagnie aérienne utilisant FlyCASS. Quiconque aurait pu exploiter cette vulnérabilité aurait pu présenter un faux numéro d’employé pour passer un point de contrôle de sécurité de KCM, indique le blog.
Le secrétaire de presse de la TSA, R. Carter Langston, a nié ces informations, déclarant Ordinateur bipant que l’agence « ne s’appuie pas uniquement sur cette base de données pour authentifier l’équipage de conduite, et que « seuls les membres d’équipage vérifiés sont autorisés à accéder à la zone sécurisée des aéroports ».