🔴 Soldes d'été : jusqu'à - 50% sur le high-tech 🔴 Soldes d'été : jusqu'à - 50% sur le high-tech

23 millions de données sensibles d'une compagnie aérienne ont fuité à cause d'un bucket AWS mal sécurisé

01 juin 2022 à 17h00
4
Pegasus Airlines Airbus A320 © © Vytautas Kielaitis / Shutterstock.com
© Vytautas Kielaitis / Shutterstock.com

Un conteneur de stockage de fichiers au format objet d'Amazon Web Services (AWS) n'a pas été correctement sécurisé, entraînant la fuite de millions de données provenant de la compagnie aérienne Pegasus Airlines.

Les équipes du spécialiste cyber Safety Detectives ont découvert qu'un « bucket » AWS S3, c'est-à-dire un conteneur qui permet de stocker dans le Cloud, au format objet, de nombreuses données et fichiers, était resté accessible en ligne, car laissé sans protection, sans mot de passe. Cette maladresse est d'autant plus grave que le bucket en question hébergeait des données critiques provenant de la compagnie aérienne turque Pegasus Airlines, propriété de la société de capital-investissement du même pays, Esas Holding AS. Voyons ce qu'il en est.

6,5 To de données critiques laissés à l'air libre

AWS S3 (Amazon Simple Storage Service), qui n'est autre que le service de stockage cloud du géant américain, est accessible via une interface web. Il permet de stocker des données et des fichiers depuis ce que l'on appelle des buckets. Grâce au Cloud, ces derniers sont ensuite accessibles, pour ses propriétaires, depuis n'importe quel appareil connecté à Internet.

Il se trouve que le bucket en question contenait les informations de type Electronic Flight Bag (EFB) de la compagnie low-cost Pegasus Airlines. Plus précisément, il pesait pour environ 6,5 To de données et hébergeait 23 millions de documents. 3,2 millions d'entre eux contenaient des données de vol sensibles.

consignes de sécurité © Safety Detectives
Certains fichiers contenaient des consignes de sécurité © Safety Detectives

Ces informations provenaient donc d'un logiciel EFB développé par Pegasus. Les données de type Electronic Flight Bag sont particulièrement critiques et sensibles. En effet, on parle ici d'un appareil qui permet à l'équipage d'un avion d'effectuer avec plus de facilité les tâches de gestion de vol, de navigation, de décollage, d'atterrissage, de ravitaillement en carburant ou de sécurité.

Des risques conséquents pour la compagnie, son personnel et ses passagers

Le bucket, qui a été découvert totalement ouvert le 28 février 2022, sans aucun mot de passe, contenait aussi des données telles que les cartes de vol, de révision, les documents de navigation, des informations sur les problèmes liés aux vérifications avant le vol, des documents d'assurance… On y trouvait également des données personnelles identifiables appartenant à l'équipage de la compagnie, avec des photos et des signatures.

cartes de vol © Safety Detectives
Les cartes de vol comportaient des informations de navigation © Safety Detectives

Toutes ces informations, qui ont librement fuité, sont liées à Pegasus EFB, logiciel dont le code source a lui aussi été exposé, avec des mots de passe en texte brut et des clés secrètes contenus dans quelque 400 fichiers aux formats exe, apk, dll, msi et autres. Tombées entre de mauvaises mains, ces informations pourraient permettre de modifier des fichiers extrêmement sensibles. Et cette faille pourrait aussi toucher les compagnies aériennes affiliées, qui utilisent aussi Pegasus EFB, comme IZair et Air Manas.

La compagnie Pegasus Airlines a rapidement sécurisé le bucket AWS S3, mais il est à cet instant impossible de savoir si des hackers ou autres individus malveillants ont pu accéder au compartiment AWS S3 qui n'était pas protégé. Si tel est le cas, les conséquences pourraient être graves, jusqu'à une mise en danger du personnel de la compagnie, membres d'équipage compris, et des voyageurs.

« Un mauvais acteur pourrait identifier le personnel de l'avion via des photos, des signatures et des changements d'équipage, et les forcer à faire passer des marchandises, des armes ou des drogues à travers les frontières », explique Safety Detectives. De plus, les consignes de sécurité qui étaient disponibles pourraient permettre d'identifier les points faibles de la sécurité d'un avion ou d'un aéroport.

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
4
5
LeToi
Je chipote mais comment on donne les données ? 23 millions de documents je comprends mais compter les données je ne suis pas sûr que ce soit possible
bennukem
Données sensibles. Peut-être que si sensibles, le elles sont référencées quelques part pour pouvoir les trier ou retrouver.<br /> En tout cas, l’accès au S3 n’était pas trop sensible apparemment
FLO4
C’est le gros pb d’AWS : par défaut la sécurité est très laxiste pour ne pas dire inexistante lors de la création d’une entité tels que les S3.<br /> Mais bon au delà de ça, les personnes en charges de l’architecture de leur infra sont comme de sacrés piniouf d’avoir laissé ça en open bar.
Klayn0
Bonjour, je viens témoigner de la véracité de cette fuite, ayant été personnellement touché.<br /> Aujourd’hui le 14 juin 2022, je reçois un appel de scam sur mon mobile. Curieux je décroche. On m’appelle avec un nom différent, celui d’un proche pour qui j’ai pris un billet pegasus airlines il y’a quelques mois et lors duquel j’avais exceptionnellement renseigné mon numéro sur la fiche de contact.<br /> Ce nom précis n’a été associé à mon numéro que pour cette occasion précise. Jamais auparavant, ni après.
Voir tous les messages sur le forum

Lectures liées

Apple : on sait (peut-être) quand le casque de réalité mixte sera annoncé !
D'impressionnantes peintures de guerre réalisées par IA pour soutenir l’Ukraine
Pour une IA responsable, Microsoft restreint la reconnaissance faciale
Voici Jetson ONE, le premier eVTOL volant à une place qui vole vraiment (Vidéo)
Une IA pour compter les moutons, on n’arrête pas le progrès
Vous pouvez désormais manger vos impressions 3D, grâce à la Pâtisserie Numérique
La Magie et la Tech font bon ménage, la preuve en images à VivaTech
Knext, le robot barista de demain qui fait saliver tout VivaTech
Vers des robots plus humains : des scientifiques japonais mettent au point une peau presque humaine et auto-réparable
Google licencie un ingénieur après sa discussion troublante avec une IA : elle avait peur d'être débranchée
Haut de page