• Aller au contenu
  • Aller au menu
  • Aller à la recherche

CPU ⬜ Carré Petit Utile

CPU

Carré, Petit, Utile : Le programme radio des gens du numérique.
Tous les Jeudi à 11h sur Radio <FMR>

  • Programmes
  • Interviewes
  • Chroniques
  • Chercher
  • Suivez-nous !
  • CPU
  • ⬜
  • Chroniques
  • ›
  • Plantage
  • ›
  • Plantage : La comédie sécuritaire de la TSA et ses clés
  • ← précédent
  • ⬜
  • suivant →

Plantage : La comédie sécuritaire de la TSA et ses clés

jeudi 1 octobre 2020. Chroniques › Plantage

  • drm
  • hack
  • maker
  • matériel
  • piratage
  • situation de crise
  • standard
  • sécurité
  • vie privée

Extrait de l'émission CPU release Ex0144 : Lockpicking.

La création de la TSA (Transport Security Adminnistration), est l'une des conséquences des attentats du 11 septembre 2001, comme la création du Department of Homeland Security, le ministère de la Sécurité Intérieure dont fait partie cette Police de l'Air et des Frontières. Après les premiers mois de flottement au pouvoir, l'émoi de la vague d'attentat permet à l'administration Bush Jr de se trouver une posture et mettre en place une politique sécuritaire.

Une des mesures de la TSA est la fouille systématique des bagages circulant dans les lignes intérieures américaines, même en soute.
Oui, toute une époque…

Mais pour ouvrir systématiquement les bagages sans forcément changer le flux des passagers, il faut pouvoir fouiller le bagage une fois qu'il a été enregistré au comptoir de la compagnie aérienne, quand il est sur les convoyeurs qui les amènent des comptoirs jusqu'au soutes des avions. Il faut donc pouvoir ouvrir et refermer les bagages. Pour cela, une norme de cadenas est créée en 2003, Travel Sentry, que la TSA présente comme une solution pratique pour les voyageurs et quasi-inviolable par sa confidentialité technique.
Ces cadenas peuvent être ouverts grâce à un jeu de passes spéciaux à la disposition des agents de la TSA. Si un bagage porte un cadenas non-conforme, la TSA a le droit de l'ouvrir de force au couteau, le détériorant irrémédiablement.

Mais très vite, la TSA qui est en charge de la sécurisation des transports aériens, est critiquée, notamment par le spécialiste en sécurité informatique Bruce Schneier qui, pour parler de ces contrôles mis en place, va créer l'expression security theater ; une comédie sécuritaire qui consiste à faire croire au public qu'il est en sécurité par des rites dignes du Culte du Cargo. Bruce Schneier se moquera plus d'une fois de ces mises en scène en arrivant à embarquer avec des objets théoriquement interdits, comme une bouteille d'eau de plus de 10 cl et un couteau en ayant un ticket d'embarquement falsifié.
Le manque de formation des agents de la TSA sera flagrant quand certains prenaient la liberté de grimper sur les sondes Pitot des avions parqués, tordant lesdites sondes qui sont très importante pour le pilotage, ceci afin de zyeuter dans les postes de pilotages.

Mais revenons à nos serrures.

Le 24 novembre 2014, le Washington Post publie un reportage sur les zones de douane des aéroports, la TSA ayant donné un accès exceptionnel aux journalistes histoire de redorer son blason.

Dans ce grand format abondamment illustré, on peut voir comment les bagages sont ouverts. Une photo montre en gros plan le trousseau de 7 clés qui peuvent ouvrir les cadenas Travel Sentry.

Plantage !

Une fois la photo remarquée par des hackers, les clés sont vectorisées puis dupliquées sur imprimantes 3D. Et les reproductions ouvrent sans faille n'importe quel cadenas Travel Sentry. Car oui, ces clés sont symétriques, donc une photo représente ses deux faces.

Les white-hat communiquent triomphalement sur leurs reproductions, raillant l'idée des clés universelles inviolables, faisant l'analogie des cadenas de voyage avec les clés de chiffrement informatique.
Avec quatre leçons magistrales :

  1. Une clé universelle pour ouvrir plein de serrures tout en garantissant leur inviolabilité, aussi dite backdoor administrative, est techniquement impossible et reste une fantaisie politique.
  2. Une clé universelle est un million de fois plus facile à pirater que tenter de forcer un millions de serrures supposées sécurisées.
  3. Toute sécurité basée sur un secret partagée par un certain nombre de personnes finira forcément par s'éventer.
  4. Une clé ou un mot de passe est comme un slip : on ne les laisse pas négligemment à la vue des autres.

Le Washington Post retire les photos, mais trop tard : Ces photos continuent à circuler, et les fichiers prêt à imprimer en 3D sont partagés sur GitHub et sur Thingiverse.

D'autres hackers découvrent par hasard que les modèles de clés étaient publiées dans un recoin du site web de Travel Sentry, accessibles sans aucun contrôle d'accès depuis… au moins 8 ans.
Une gaffe encore plus incroyable faite par ceux qui connaissaient la sensibilité de telles photos.
Mais rien ne vaut la gaffe ultime :Le communiqué de la TSA qui qualifie cette fuite de sans importance. Nombre de voyageurs ne le voyant pas ainsi, la réputation de l'agence tombe encore plus bas.

Ah oui… vous vous dites sûrement que si ces passes universels furent imposés, c'est qu'il n'y avait pas d'autres moyens d'ouvrir une valise de façon non-destructive ? Eh ben figurez-vous que toutes les douanes du monde utilisent le truc du stylo Bic : On enfonce un stylo Bic dans une fermeture éclair, ce qui désolidarise les rangs de dents, permettant d'ouvrir la valise. Et pour refermer, un aller-retour avec le curseur, même verrouillé mais tant qu'il est mobile, suffit largement.

Au final, les clés TSA sont très facilement commandables sur Amazon ou Alibaba, et elles sont évidemment dans les poches de beaucoup trop de personnes pour qu'un cadenas Travel Sentry évite réellement un vol dans le bagage.

Et les autres ressorts de la comédie sécuritaire ? Suite à l'épidémie de COVID, la TSA autorise depuis le printemps 2020 les bouteilles de liquide de plus de 10 cl, reconnaissant que l'explosif liquide incolore et inodore qui prétextait cette interdiction depuis 18 ans n'était… qu'une fiction digne de la série « 24 heures chrono ».

Texte : Da Scritch.
Photo : Clé officielles Travel Sentry via NewRiverSideHotel, notez le prix et l'url ;), D.R.

Pièces jointes

  • 0144-CPU-Plantage-TSAkeys(01-10-20).mp3

Aucun commentaire

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées. Votre e-mail ne sera pas affiché.

Menu

Catégories

  • Programmes
  • Interviewes
  • Chroniques
    • Enfant du futur immédiat
    • Ainsi naquit
    • Artefact du passé
    • Feedback
    • Histoire
    • How to
    • La mascotte
    • Le Gourou
    • Lexique
    • Plantage
    • Standard
    • Archéologie du Futur
    • Légende
    • Paillasse du design
  • Hors micro
  • Teaser

Séries

  • Arrière-guichet
  • Au service informatique de Sa Majesté
  • Bio is the new Black
  • Bulletin de santé d´Internet 2017
  • Crie si tu sais…
  • Elles codent
  • Futurs alternatifs
  • Histoires de la cryptographie
  • Killed By App
  • Langages machine
  • lost and found
  • Made in Japan 日本製
  • Paranoid android
  • Parce que c’est Notre Projet Souverain
  • Quelque chose de totalement différent
  • Radio numérique
  • Read That Funky Manual !
  • Recycle
  • Situation critique
  • Webmasters

Toutes les séries

Mots-clés

  • communication
  • communauté
  • politique
  • infrastructure
  • développement
  • design
  • matériel
  • standard
  • organisation
  • logiciel
  • sécurité
  • éducation
  • électronique
  • éthique
  • maker
  • humour
  • marketing
  • prototypage
  • web
  • vie privée

Tous les mots-clés

Menu extra

Suivez-nous !

  • 🎵 Podcast des émissions
  • 🎧 …pour Android
  • 🎧 …via Apple Podcast
  • 🎧 …via Google Podcast
  • 🎧 …en newsletter
  • Comment faire

Réseaux sociaux

  • @cpu@Mastodon.tetaneutral.net
  • BlueSky @cpu.pm
  • Xwitter @CPUprogramme
  • LinkedIn company/cpuprogramme
  • Facebook /programmecpu
  • Nous écrire par e-mail

Développeurs

  • Da Scritch
  • Enflammée
  • Gabriel
  • Infested Grunt
  • Solarus
  • René Speranza
  • Toute l'équipe

Producteurs

  • Radio <FMR>
  • Silicium
  • Ça Fait Écho
  • Régie publicitaire

Code source (github)

  • CPU-Audio web component
  • Thème Dotclear "CPU-15"
  • CPU podcaster
  • Youtube future playlist

Pages juridiques

  • Documentation du programme
  • Licence de l'émission et des sonores
  • Politique de confidentialité 🍪
  • Mentions légales

Interviewes et chroniques en licence CC-BY-NC ⬜ Émissions © DaScritch et l'équipe pour Radio <FMR> ⬜ Propulsé par Dotclear