L’intégralité de la « No Fly List » américaine a été exposée en ligne par un pirate informatique suisse qui aurait trouvé trois fichiers sensibles stockés sur un serveur de stockage en nuage non sécurisé.
L’un des fichiers contient les informations de plus de 1,5 million d’entrées dans la liste, qui couvre les personnes à qui il a été interdit de voyager à destination ou en provenance des États-Unis.
Les données ont été trouvées par ennui, selon un article de blog (s’ouvre dans un nouvel onglet) écrit par le pirate informatique, connu en ligne sous le nom de maia arson crimew, qui l’a vue chercher dans Shodan des serveurs Jenkins exposés.
Violation de la liste d’interdiction de vol
En fouillant autour du serveur CommuteAir exposé, on a découvert trois fichiers .csv : employee_information.csv, nofly.csv et selectee.csv. Sans doute le plus notable, et celui qui a causé le plus de remous ces derniers jours, a été le nofly.csv, qui contiendrait des informations sur les dépliants interdits aux États-Unis.
Le fichier nofly.csv avait une taille de près de 80 Mo, contenant plus de 1,56 million de lignes de données relatives aux personnes qui ne doivent pas voler aux États-Unis, bien qu’il ait été signalé qu’une grande partie de ces entrées incluent des alias.
Les alias sont utilisés dans le but d’éviter la détection par ces listes et peuvent impliquer des modifications du prénom et du nom de famille, y compris des fautes d’orthographe courantes et des modifications des dates de naissance.
Un tel exemple, selon Point quotidien (s’ouvre dans un nouvel onglet) qui a d’abord rendu compte de la question, comprend le marchand d’armes russe récemment libéré, Viktor Bout, avec au moins 16 pseudonymes apparentés.
Dans l’ensemble, on estimait en 2016 qu’il y avait 81 000 personnes sur la liste d’interdiction de vol des États-Unis, en tenant compte de plusieurs alias par personne.
En ce qui concerne les données exposées en 2023, crimew a déclaré : « Je suis tout simplement fou de la taille de cette base de données de dépistage du terrorisme et pourtant, il existe toujours des tendances très claires vers des noms à consonance presque exclusivement arabe et russe à travers le million d’entrées ».
Outre cette liste, crimew a également exposé une liste contenant des informations personnellement identifiables sur les membres d’équipage de CommuteAir, y compris les noms complets, adresses, numéros de téléphone, numéros de passeport, numéros de licence de pilote, etc.
Erik Kane, responsable des communications d’entreprise pour CommuteAir, a confirmé que les données étaient légitimes et provenaient d’une version 2019 de la liste fédérale d’interdiction de vol, reconnaissant également l’exposition des données du personnel. Kane a déclaré: « Nous avons soumis une notification à la Cybersecurity and Infrastructure Security Agency et nous poursuivons une enquête complète. »
Tech Radar Pro a demandé à la société de commenter davantage la question.