23 millions de données sensibles d'une compagnie aérienne ont fuité à cause d'un bucket AWS mal sécurisé

Alexandre Boero
Chargé de l'actualité de Clubic
01 juin 2022 à 17h00
4
© Vytautas Kielaitis / Shutterstock.com
© Vytautas Kielaitis / Shutterstock.com

Un conteneur de stockage de fichiers au format objet d'Amazon Web Services (AWS) n'a pas été correctement sécurisé, entraînant la fuite de millions de données provenant de la compagnie aérienne Pegasus Airlines.

Les équipes du spécialiste cyber Safety Detectives ont découvert qu'un « bucket » AWS S3, c'est-à-dire un conteneur qui permet de stocker dans le Cloud, au format objet, de nombreuses données et fichiers, était resté accessible en ligne, car laissé sans protection, sans mot de passe. Cette maladresse est d'autant plus grave que le bucket en question hébergeait des données critiques provenant de la compagnie aérienne turque Pegasus Airlines, propriété de la société de capital-investissement du même pays, Esas Holding AS. Voyons ce qu'il en est.

6,5 To de données critiques laissés à l'air libre

AWS S3 (Amazon Simple Storage Service), qui n'est autre que le service de stockage cloud du géant américain, est accessible via une interface web. Il permet de stocker des données et des fichiers depuis ce que l'on appelle des buckets. Grâce au Cloud, ces derniers sont ensuite accessibles, pour ses propriétaires, depuis n'importe quel appareil connecté à Internet.

Il se trouve que le bucket en question contenait les informations de type Electronic Flight Bag (EFB) de la compagnie low-cost Pegasus Airlines. Plus précisément, il pesait pour environ 6,5 To de données et hébergeait 23 millions de documents. 3,2 millions d'entre eux contenaient des données de vol sensibles.

Certains fichiers contenaient des consignes de sécurité © Safety Detectives
Certains fichiers contenaient des consignes de sécurité © Safety Detectives

Ces informations provenaient donc d'un logiciel EFB développé par Pegasus. Les données de type Electronic Flight Bag sont particulièrement critiques et sensibles. En effet, on parle ici d'un appareil qui permet à l'équipage d'un avion d'effectuer avec plus de facilité les tâches de gestion de vol, de navigation, de décollage, d'atterrissage, de ravitaillement en carburant ou de sécurité.

Des risques conséquents pour la compagnie, son personnel et ses passagers

Le bucket, qui a été découvert totalement ouvert le 28 février 2022, sans aucun mot de passe, contenait aussi des données telles que les cartes de vol, de révision, les documents de navigation, des informations sur les problèmes liés aux vérifications avant le vol, des documents d'assurance… On y trouvait également des données personnelles identifiables appartenant à l'équipage de la compagnie, avec des photos et des signatures.

Les cartes de vol comportaient des informations de navigation © Safety Detectives
Les cartes de vol comportaient des informations de navigation © Safety Detectives

Toutes ces informations, qui ont librement fuité, sont liées à Pegasus EFB, logiciel dont le code source a lui aussi été exposé, avec des mots de passe en texte brut et des clés secrètes contenus dans quelque 400 fichiers aux formats exe, apk, dll, msi et autres. Tombées entre de mauvaises mains, ces informations pourraient permettre de modifier des fichiers extrêmement sensibles. Et cette faille pourrait aussi toucher les compagnies aériennes affiliées, qui utilisent aussi Pegasus EFB, comme IZair et Air Manas.

La compagnie Pegasus Airlines a rapidement sécurisé le bucket AWS S3, mais il est à cet instant impossible de savoir si des hackers ou autres individus malveillants ont pu accéder au compartiment AWS S3 qui n'était pas protégé. Si tel est le cas, les conséquences pourraient être graves, jusqu'à une mise en danger du personnel de la compagnie, membres d'équipage compris, et des voyageurs.

« Un mauvais acteur pourrait identifier le personnel de l'avion via des photos, des signatures et des changements d'équipage, et les forcer à faire passer des marchandises, des armes ou des drogues à travers les frontières », explique Safety Detectives. De plus, les consignes de sécurité qui étaient disponibles pourraient permettre d'identifier les points faibles de la sécurité d'un avion ou d'un aéroport.

Sur le même sujet :
Vol de données : il n’y en a jamais eu autant qu’aujourd’hui, selon la CNIL

Source : Safety Detectives

Alexandre Boero

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM, école reconnue par la profession), pour écrire, interviewer, filmer, monter et produire du contenu écrit, audio ou vidéo au quotidien. Quelques atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la production vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et la musique :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (4)

LeToi
Je chipote mais comment on donne les données ? 23 millions de documents je comprends mais compter les données je ne suis pas sûr que ce soit possible
bennukem
Données sensibles. Peut-être que si sensibles, le elles sont référencées quelques part pour pouvoir les trier ou retrouver.<br /> En tout cas, l’accès au S3 n’était pas trop sensible apparemment
FLO4
C’est le gros pb d’AWS : par défaut la sécurité est très laxiste pour ne pas dire inexistante lors de la création d’une entité tels que les S3.<br /> Mais bon au delà de ça, les personnes en charges de l’architecture de leur infra sont comme de sacrés piniouf d’avoir laissé ça en open bar.
Klayn0
Bonjour, je viens témoigner de la véracité de cette fuite, ayant été personnellement touché.<br /> Aujourd’hui le 14 juin 2022, je reçois un appel de scam sur mon mobile. Curieux je décroche. On m’appelle avec un nom différent, celui d’un proche pour qui j’ai pris un billet pegasus airlines il y’a quelques mois et lors duquel j’avais exceptionnellement renseigné mon numéro sur la fiche de contact.<br /> Ce nom précis n’a été associé à mon numéro que pour cette occasion précise. Jamais auparavant, ni après.
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

23 millions de données sensibles d'une compagnie aérienne ont fuité à cause d'un bucket AWS mal sécurisé 23 millions de données sensibles d'une compagnie aérienne ont fuité à cause d'un bucket AWS mal sécurisé