‘iPad Bombs’: Batteries not included (4/4)

4ème partie – « Oui mais, les scanneurs à bagages peuvent être hackés ! »

Introduction et sommaire de cette série d’articles

Aviation civileNous l’avons vu, allumer son iPad Air ou son Galaxy SIII sous le nez d’un agent de contrôle avant d’embarquer ne présente aucun intérêt en termes de sureté de l’aviation civile.

Parmi les différentes raisons précédemment évoquées, la principale tient dans le fait que tous les objets détenus par un passager font l’objet d’un contrôle au scanneur à bagages amplement suffisant pour détecter un éventuel iPad piégé.

Toutefois, qu’en serait-il si un individu malintentionné parvenait à prendre indûment le contrôle de la console d’opération de ce scanneur ? C’était précisément le sujet d’une présentation fort médiatisée lors de la dernière édition du Black Hat, une conférence de hackers informatiques. On apprenait ainsi de la bouche de Billy Rios, Director of Vulnerability Research chez Qualys, que ces consoles de scanneur sont vulnérables à des attaques informatiques.

Si l’on peut pirater les scanneurs à bagage, les conclusions que j’ai précédemment tirées dans cet article sont-elles ipso facto obsolètes ? Pas le moins du monde.

La question n’est pas de savoir si un système présente des vulnérabilités – ils en présentent tous. Il convient plutôt de savoir pourquoi et comment un individu malintentionné pourrait les exploiter. Autrement dit, quel serait le but recherché et le mode opératoire que ce malfaisant pourrait adopter pour mener à bien ses funestes desseins ? Chemin faisant, on s’aperçoit rapidement des limites de la présentation faite sur ce point au Black Hat.

4.1 – L’accès à la console

Selon Billy Rios, la prise de contrôle du scanneur peut se faire :

  • à distance, depuis un poste informatique branché sur le réseau interne de la TSA (TSA.Net). Toutefois, on ignore si cela est véritablement possible : Billy Rios reconnaît ne pas avoir essayé de se connecter à ce réseau par peur des représailles des autorités fédérales.
  • sur la console du scanneur, au point de fouille. Cela signifie qu’il faut que le malfaisant soit un infiltré au sein de la TSA.

Mais quel que soit le mode de prise de contrôle du scanneur, il est impératif de hacker les consoles de tous les scanneurs à bagages. En effet, le passager se présentant au point de fouille ne peut pas savoir à l’avance dans quelle file l’agent répartiteur de la TSA va l’envoyer.

À moins que les bad guys :

  • aient ciblé un aéroport de petite taille, avec un seul point de fouille.
  • aient infiltré également un deuxième homme (l’agent répartiteur) au sein de l’équipe de la TSA dans cet aéroport… Mais cela commence à ressembler un peu trop à une aventure de l’inspecteur John McClane.

dieharder

4.2 – La question des mots de passe

Billy Rios a mené des tests d’intrusion sur un système de scanneur à bagage de la société Rapiscan Systems. À l’issue de ces tests, il a établi que :

  1. Comme beaucoup d’appareils de sûreté utilisés par la TSA dans les aéroports, les accès logiciels aux consoles de ces appareils ne sont verrouillés que par un mot de passe, lequel est bien souvent le mot de passe par défaut implanté par le constructeur.
  2. Il est donc possible de déverrouiller l’accès au logiciel de la console du scanneur, même en ignorant le mot de passe.
  3. Une fois que l’on accède à la console, il est possible d’obtenir la liste de tous les mots de passe des comptes utilisateur enregistrés sur la machine.

Certes, il est regrettable qu’une précaution élémentaire de sécurité informatique soit ainsi ignorée par la TSA. Mais est-ce si grave, après tout, dans le cas qui nous intéresse ? En effet, que pourrait faire un malfaisant une fois qu’il aurait pris le contrôle de la console au point de fouille ?

4.3 – la modification des images du scanneur

Après avoir atteint la console et avoir entré un mot de passe, le bad guy pourrait prendre le contrôle du scanneur. Pour Billy Rios, le risque le plus important tient dans l’éventuel détournement d’un programme complémentaire installé sur la console.

Les ordinateurs qui gèrent ces scanneurs sont en effet équipées d’un logiciel, le Threat Image Projection, qui permet à un superviseur du point de fouille d’injecter, à des moments choisis, des images-fantômes d’objets dangereux. Lesquelles images-fantômes vont se superposer au contenu des bagages. Il s’agit ici de tester – à intervalles plus ou moins réguliers – la vigilance des agents de contrôle des bagages de cabine.

rapiscan_tip_1__large

Billy Rios laisse entendre qu’un malfaisant pourrait prendre le contrôle de la console – en lieu et place du superviseur au point de fouille – pour :

  1. substituer à l’image du scanner une fausse image de bagage anodin, en lieu et place de l’image d’un bagage contenant un objet dangereux ;
  2. détourner le Threat Image Projection de son objectif premier, en injectant sur l’image du bagage scanné l’image fantôme d’un objet anodin ; lequel viendrait ainsi camoufler des objets interdits et les faire échapper à la vigilance des agents de contrôle.

L’idée est séduisante… mais, là encore, dans un mauvais remake de Die Hard 2. Car dans la réalité, elle se révèle pour le moins saugrenue. Non pas qu’elle soit totalement impossible à mettre en œuvre. Mais les bad guys éprouveraient de très grandes difficultés à l’implanter ; et ils s’exposeraient à être découverts à différents niveaux.

La première hypothèse est aisée à écarter : le Threat Image Projection ne permet pas de substituer des images, mais seulement de superposer des morceaux d’images prédéterminés. Il faudrait donc installer sur la console un autre logiciel et le configurer pour le scanneur. Bien que là encore, on ne puisse complètement réfuter cette possibilité, on reconnaîtra qu’elle est pour le moins hautement improbable.

Qu’en est-il de la seconde hypothèse ? Toute la difficulté pour les terroristes ou autres criminels de l’aviation civile consisterait à injecter l’image fantôme d’un objet anodin SUR l’image de l’objet interdit se trouvant dans le bagage. Et cela pose deux problèmes particulièrement délicats à résoudre :

  1. Il faut que l’image-fantôme recouvre très exactement l’objet interdit se trouvant dans le bagage.
  2. Il faut que cette image-fantôme ne crée pas d’incohérence en termes de transparence. Autrement dit à, elle ne doit être ni transparente – sinon elle va laisser apparaître l’objet interdit -, ni opaque – sinon elle suscitera la suspicion de l’agent de contrôle qui fouillera alors le bagage manuellement.

En conséquence, il faut que l’image-fantôme cache l’objet interdit en donnant l’impression qu’elle est transparente, ce qui nécessite qu’elle reconstitue de façon crédible le fond du bagage derrière l’objet interdit.

Ces deux conditions cumulatives sont particulièrement difficiles à remplir, car elles nécessitent que :

  • l’objet interdit ne bouge pas d’un quart de pouce entre le moment où on l’a dissimulé dans le bagage et celui où on le place sur le tapis du scanneur.
  • le bagage soit placé sur le tapis à un emplacement exact et selon un angle très précis pour coïncider parfaitement avec l’image-fantôme injectée par-dessus l’objet interdit.

Là encore, on reconnaîtra que la probabilité de réussite frôle dangereusement le zéro.

Le risque paraît donc bien illusoire, d’autant plus qu’il existe une façon beaucoup plus simple et efficace de faire passer un objet interdit en zone réglementée.

En effet, pour être en situation de hacker la console du scanneur. il faut être un employé de la TSA ayant un accès privilégié en zone réglementée. Si une organisation de malfaisants dispose d’une taupe au sein des agents de contrôle de la TSA, il est beaucoup moins risqué de :

Conclusion générale

Au bout du compte, faire allumer les téléphones et tablettes avant l’embarquement, est-ce bien utile à la sureté de l’aviation civile ? Le moins que l’on puisse dire, c’est que l’efficacité alléguée de la mesure ne résiste pas à l’analyse.

Tout ce qu’une telle mesure peut faire, c’est :

Quelques mois après le lancement de l’initiative, son bilan est des plus mauvais : la mesure commence à mourir de sa belle mort, puisque nombre d’aéroports internationaux censés l’implanter ne l’appliquent plus (si elles l’ont jamais appliquée). Et ce, sans susciter la moindre réaction du côté de l’administration fédérale américaine…

Alors, Much ado about nothing?

Malheureusement non. En effet, combien de ressources (en temps, en argent et en personnel) ont été ainsi gaspillées, au détriment d’autres mesures de sureté plus efficientes ?

À propos de Arnaud Palisson

Arnaud Palisson, Ph.D. fut pendant plus de 10 ans officier de police et analyste du renseignement au Ministère de l'intérieur, à Paris (France). Installé à Montréal (Canada) depuis 2005, il y a travaillé dans le renseignement policier puis en sureté de l'aviation civile. Il se spécialise aujourd'hui dans la sécurité de l'information et la protection des renseignements personnels.