David Madore's WebLog: Une remarque sur la sécurité aérienne

Index of all entries / Index de toutes les entréesXML (RSS 1.0) • Recent comments / Commentaires récents

Entry #2331 [older|newer] / Entrée #2331 [précédente|suivante]:

(mercredi)

Une remarque sur la sécurité aérienne

Lorsque nous sommes allés à Dublin, mon poussinet m'a fait observer la chose suivante : nous étions munis de cartes d'embarquement (qui pouvaient être imprimés par nos soins à partir de PDF fournis par la compagnie — sans aucune mesure de sécurité particulière) et de nos pièces d'identité. Ces cartes d'embarquement et pièces d'identité ont été contrôlées à plusieurs reprises : on a (A) vérifié que notre nom sur la carte d'embarquement correspondait bien à celui donné par la pièce d'identité, et (B) passé notre carte d'embarquement dans un scanner qui vérifiait (certainement en lisant le code-barre ou équivalent qui est dessus) que l'enregistrement était réel. Mais à aucun moment ces deux vérifications n'ont été faites ensemble. Ceci ouvre donc une faille de sécurité : rien n'empêche d'imprimer une carte d'embarquement à un autre nom que celui fourni lors de l'enregistrement (il suffit de modifier un texte dans un PDF, il n'y a donc aucune difficulté), ce qui permet de passer à la fois le contrôle (A) si on a une pièce d'identité à ce nom, et le contrôle (B) si le lecteur optique vérifie uniquement le code-barre et pas le nom imprimé (et même si le lecteur optique vérifie les deux, on peut imprimer deux cartes d'embarquement différentes, une au nom d'enregistrement et une au nom de la pièce d'identité : tant que la pièce d'identité n'est pas contrôlée simultanément à l'enregistrement dans le fichier de la compagnie, ce n'est pas une vraie vérification).

Après, je n'ai aucune idée de l'intérêt qu'il y aurait à enregistrer un passager et en faire voler un autre (peut-être pour revendre un billet qu'on n'a pas le droit de revendre parce qu'il est normalement nominatif ?), mais en tout cas c'est possible. Je ne vois pas l'intérêt, mais du coup, je ne vois pas non plus l'intérêt du contrôle (A) (ce qui importe à la compagnie est que chaque voyageur ait payé : ceci explique le contrôle (B), mais le (A), i.e., le caractère nominatif des billets, a l'air purement vexatoire). Toujours est-il que soit cette vérification est inutile, auquel cas il faudrait la supprimer, soit elle est utile, auquel cas il faudrait corriger le protocole pour qu'elle ne soit pas triviale à contourner.

Je pense que c'est assez caractéristique de l'état d'esprit de la sécurité informatique que de remarquer ce genre de failles : la plupart des gens se disent que si on vérifie que l'enregistrement est bon et que le nom correspond, on a vérifié tout ce qu'il fallait, et ils oublient que si les vérifications ne sont pas faites de façon jointe, elles peuvent être différentes. Je crois même avoir entendu un nom, que j'ai oublié, à cette classe d'erreurs de sécurité (supposer que quelque chose va rester identique entre deux vérifications alors qu'il pourrait être modifié, ou deux objets différents pourraient être présentés, entre les deux contrôles). Il y a probablement des romans policiers dont l'intrigue est basée sur une variations de cette idée.

J'avais remarqué quelque chose de semblable à propos des copies d'examen ou de concours : plusieurs fois, quand j'ai passé une épreuve, on vérifiait (A) que mon identité correspondait bien à la place à laquelle j'étais assis, et (B) implicitement, au moment de relever les notes, que le numéro indiqué sur la copie correspond bien à une personne inscrite à l'épreuve. Mais personne ne vérifiait que le nom ou le numéro d'inscription que je reporte sur ma copie avant de l'anonymiser est le même que le numéro qui m'est attribué et qui est sur ma table. Il est donc parfaitement possible (si cette faille n'a pas été corrigée) pour deux candidats passant dans le même centre d'examen d'échanger leurs copies, c'est-à-dire, d'écrire chacun le nom et numéro d'inscription de l'autre : cela peut être exploité pour vendre une réussite aux épreuves écrites du bac (le vendeur et l'acheteur se présentent aux épreuves, chacun écrit le numéro d'inscription de l'autre dans sa copie ; comme ils sont tous les deux régulièrement inscrits, ils passent les contrôles que j'ai évoqués). [Ah zut, come d'habitude, je radote.] [Précision : on me souffle que, au moins pour ce qui est du bac, la procédure a changé (il y a des étiquettes collées par les surveillants), donc la faille n'existe plus, ou au minimum n'est exploitable que pour des candidats dans la même salle et pas juste dans le même centre.]

Ceci soulève aussi la question suivante : qui, au juste, décide ce genre de protocoles administratifs de contrôle, et comment ces personnes sont-elles recrutées ? En informatique, quand on met en place un protocole, il est généralement débatu, publié, commenté, et mis en place après une phase d'évaluation approfondie. Mais les instructions sur « comment contrôler l'accès des passagers à bord des avions du point de vue des formalités d'enregistrement » ou « comment contrôler l'identité des candidats à un examen » ne sont visiblement pas formalisées de la sorte, et ont sans doute été décidées par quelqu'un d'idiot ou d'incompétent (ou par un groupe de tels gens). Pourtant, il y a des similitudes avec la sécurité informatique, et ce serait sans doute pertinent de faire revoir ce genre d'instructions par des gens qui ont cet état d'esprit avant de les appliquer.

↑Entry #2331 [older|newer] / ↑Entrée #2331 [précédente|suivante]

Recent entries / Entrées récentesIndex of all entries / Index de toutes les entrées