« Cette liste de surveillance est supposée être classifiée. » Le 19 juillet 2021, Bob Diachenko, directeur de la recherche chez Comparitech, a obtenu l’accès à un serveur non protégé, comme il en croise des dizaines par mois. Dans la grande majorité des cas, les données que ces serveurs exposés à tous hébergent ne sont pas censées être accessibles publiquement. Cette fois, elles étaient même censées être hautement protégées.

À l’intérieur du serveur, le chercheur a trouvé une liste de 1,9 million d’individus. Pour chacun d’entre eux, elle détaille plusieurs informations parmi lesquelles : nom et prénom, nationalité, genre, numéro de passeport ou encore la date de naissance. Après une rapide analyse, Diachenko a conclu qu’il venait de trouver la liste de surveillance du « Terrorist Screen Center  », une institution administrée par le FBI, qui réunit les efforts de plusieurs branches du gouvernement américain.

Image d'erreur

Ha la boulette ! // Source : Le dîner de cons

Les personnes qui figurent sur la liste sont « suspectées » de terrorisme, mais n’ont pas nécessairement été condamnées pour crime ou délinquance auparavant. C’est ce point qui en fait un outil controversé et qui justifie que son accès soit très encadré, du moins en théorie. Seuls certains employés d’une poignée d’agences gouvernementales américaines ont accès à la liste, afin de conduire des procédures de sélection à l’entrée (des screenings, en anglais). Par exemple, la liste distingue un sous-ensemble d’individus interdits de vols en avion (la fameuse « no-fly list») que les autorités des services d’immigration pourront refouler à l’aéroport. Depuis 2015, le gouvernement affirme qu’il informe individuellement les personnes ajoutées à la liste si elles résident sur le territoire américain, mais ce n’est toujours pas le cas de celles à l’extérieur des frontières.

« Entre de mauvaises mains, cette liste peut être utilisée pour oppresser, harceler et persécuter les personnes de la liste et leurs familles. Sa fuite pourrait causer un certain nombre de problèmes personnels et professionnels pour les personnes innocentes dont le nom est inclus dans la liste », s’inquiète Bob Diachenko. Discrimination au recrutement, harcèlement, mise à l’écart injustifiée, la liste de débordements potentiels est longue… et pourrait aller jusqu’à la mise en danger d’individus. « Il y a eu plusieurs histoires de recrutement d’informateurs par les autorités américaines en échange du retrait de leur nom de la liste ‘no-fly’. L’identité d’informateurs passés et présents pourrait avoir fuité. »

L’étrange temps de réaction des autorités

Le jour même de sa découverte, Diachenko a prévenu le Department of Homeland Security (équivalent américain du ministère de l’Intérieur), qui a immédiatement reconnu l’incident et l’a remercié pour son travail. Problème : le serveur n’a étonnement été mis hors ligne que 3 semaines plus tard. « Il est difficile de savoir pourquoi ça a pris autant de temps, et je ne sais pas avec certitude si des parties non autorisées y ont accédé », commente le chercheur.

Ce délai a de quoi inquiéter. Dans le détail, le serveur découvert par Diachenko est un ElasticSearch. Cette technologie, communément comparée à un Excel géant, est réputée pour sa facilité d’utilisation et sa capacité à manipuler de larges volumes de données. Mais elle est aussi connue pour les erreurs de configuration de ses utilisateurs. S’ils ne sont pas suffisamment attentifs, ils peuvent oublier (ou désactiver) les protections du serveur. Résultat : au lieu d’être accessibles seulement avec un identifiant et un mot de passe, les données seront visibles par toute personne qui trouvera l’adresse IP du serveur. On parle alors de fuite, puisque les informations en théorie privés deviennent accessibles publiquement.

Un serveur exposé passe rarement inaperçu

Le phénomène est tellement connu que plusieurs chercheurs (comme Diachenko), mais aussi des cybercriminels, se spécialisent dans le repérage de ces types de fuite. Pour les trouver, ils « scannent » le web à la recherche d’ElasticSearch ouverts. Concrètement, ils testent des milliers d’adresses IP pour voir si elles sont correctement protégés. Ces scans sont aussi fait par des moteurs de recherche, le plus connu étant Shodan.io. D’après Diachenko, le serveur qui hébergeait la liste sur une adresse IP du Barhein était indexé par deux outils de ce genre, Censys et ZoomEye.

À cause de ce système, une fuite d’un serveur ElasticSearch passe rarement inaperçue, à moins d’être colmatée dans l’heure. Les chercheurs de Comparitech avaient d’ailleurs mené une expérience en 2020 pour voir à quel vitesse un ElasticSearch ouvert serait trouvé. Bilan : moins de 9 heures après la mise en ligne de la machine, un premier visiteur scrutait son contenu. 5 jours plus tard, le serveur était indexé par les moteurs de recherche, et il avait déjà été consulté plus de 40 fois. En tout, le serveur de démonstration des chercheurs a été visité 175 fois en 11 jours.

Autrement dit, si cette expérience reflète ne serait-ce que partiellement une tendance de fond, nul doute que le serveur qui hébergeait la liste de surveillance a été consultée par d’autres personnes que Diachenko, puisqu’elle est restée en ligne sans protection pendant au moins 3 semaines.

une comparateur meilleur gestionnaire mdp numerama

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !