Cette hackeuse suisse a mis la main sur un document américain top secret

«L'un des documents les plus sensibles du gouvernement américain» était accessible sur Internet, selon les médias. Il documenterait la surveillance des services de sécurité et le racisme caché.

Une activiste suisse et chercheuse en sécurité informatique a déclenché un scandale en matière de protection des données aux Etats-Unis. Des personnalités du monde entier sont directement et indirectement concernées. Il s'agit d'une longue liste de personnes considérées par les autorités de sécurité américaines comme des terroristes présumés ou des risques potentiels pour la sécurité et qui ne sont donc pas autorisées à voler.

«J'ai le sentiment qu'il s'agit d'une dérive très perverse de l'Etat de surveillance. Et pas seulement aux Etats-Unis, c'est une tendance mondiale» Maia Arson Crimew, hackeuse.

Que s'est-il passé exactement?

Une célèbre hackeuse suisse a récemment mis la main sur des données extrêmement sensibles du gouvernement américain, prétendument non protégées.

Selon des rapports concordants des médias américains, la Lucernoise a découvert et téléchargé un document sensible sur un serveur de la compagnie aérienne régionale américaine CommuteAir (partenaire de United Airlines). Le fichier texte contiendrait les identités de centaines de milliers de personnes figurant dans la Base de données de repérage des terroristes et la «No Fly List». D'après ce document, ces données déterminent si l'on peut monter à bord d'un avion de ligne et si l'on est soumis à des contrôles de sécurité renforcés.

Le média américain Daily Dot en a parlé en exclusivité jeudi 19 janvier. Lorsque le groupe de médias Vice s'est ensuite emparé du sujet, il a fait la Une des journaux internationaux.

Qui est cette hackeuse suisse?

La personne agissant sous le pseudonyme de Maia Arson Crimew (anciennement Tillie Kottmann) est, selon sa description sur Wikipedia, une développeuse et une pirate informatique suisse.

Par le passé, la Lucernoise a été plusieurs fois associée à des fuites de données qui ont fait la Une des journaux.

En mai 2020, Maia Arson Crimew aurait extrait des données confidentielles de centaines de «repositories» (archives en ligne) de Mercedes-Benz et les aurait publiées sur Internet. Selon les rapports, le code source de composants de voitures intelligentes en faisait partie.

En août 2020, elle a publié au moins 20 gigaoctets de documents internes (et confidentiels) du fabricant américain de puces Intel. Ces données lui auraient été transmises par un pirate informatique inconnu.

Sauf qu'en mars 2022, la hackeuse a accordé une interview vidéo à swissinfo sur ses motivations et a expliqué qu'elle dépassait délibérément les limites de la loi pour attirer l'attention sur des dysfonctionnements sociaux. Aux Etats-Unis, elle a été inculpée en 2021 pour avoir rendu des données publiques. Elle a été accusée de conspiration, de fraude en matière de télécommunications et d'usurpation d'identité aggravée, comme l'a rapporté republik.ch.

La «No Fly List» a-t-elle été divulguée et publiée?

Non. Aucun signalement n'a été fait à ce sujet.

La pirate informatique lucernoise ne veut pas simplement faire fuiter les données. Son but est de les rendre accessibles aux personnes qui y ont un intérêt légitime. Maia Arson Crimew affirme être consciente que les listes contiennent des informations confidentielles, mais elle estime qu'il est «dans l'intérêt public de mettre cette liste à la disposition des journalistes et des organisations de défense des droits de l'homme».

La hackeuse a donc opté pour une démarche que le public connaît bien grâce à Edward Snowden: le lanceur d'alerte de la NSA avait coopéré avec des journalistes sélectionnés et leur avait remis des documents extrêmement sensibles qu'il avait copiés sur les serveurs des services secrets.

Pourquoi est-ce important du point de vue suisse?

Cet incident prouve que les institutions américaines font preuve de trop de laxisme dans le traitement des données personnelles sensibles. Le contenu du fichier texte devrait encore donner lieu à des discussions.

La liste se serait allongée de centaines de milliers de noms depuis les attentats terroristes du 11 septembre 2001. Des groupes de défense des droits civiques, dont le Conseil des relations américano-islamiques (CAIR) et l'Union américaine des libertés civiles (ACLU), avaient déjà déposé des plaintes pour discrimination.

Au début des années 2000, de nombreux rapports avaient fait état de personnes placées à tort sur la liste des personnes interdites de vol.

La liste d'interdiction de vol (intitulée la «No Fly List») est différente de la liste de surveillance des terroristes (dite «Terrorist Watch List»). La seconde est une liste beaucoup plus large de personnes soupçonnées par les autorités américaines d'être liées au terrorisme ou identifiées comme des risques potentiels pour la sécurité (voir ci-dessous).

Des noms suisses figurent-ils sur la liste?

Cette information n'est pas connue.

La liste contiendrait environ 1,5 million de noms, principalement de langue arabe, mais aussi de nombreux noms à consonance slave et espagnole, selon le Daily Dot. Elle contiendrait également de nombreux pseudonymes, ce qui expliquerait que le nombre de personnes clairement concernées soit bien inférieur à 1,5 million.

Selon la hackeuse, parmi les millions d'entrées, «il y a toujours des tendances très claires vers des noms à consonance presque exclusivement arabe et russe». Certaines personnes figurant sur la liste n'avaient que quatre ou cinq ans au moment de leur inscription.

Les données datent de 2019 et ont été rendues partiellement illisibles par la compagnie aérienne concernée, CommuteAir, de sorte qu'uniquement les noms et les dates de naissance des personnes pouvaient être consultés.

Selon les journalistes qui ont mené l'enquête, la liste comportait «plusieurs personnalités notables», dont le marchand d'armes russe Viktor Bout, récemment libéré, aux côtés de plus de 16 de ses pseudonymes.

Qui est responsable de la liste?

En dernière instance, c'est le gouvernement américain.

La liste d'interdiction de vol américaine est gérée par le Centre de repérage des terroristes (TSC), une agence fédérale créée après les attentats terroristes du 11 septembre 2001.

Cette autorité, appartenant au FBI, gère également la «Base de données sur le repérage des terroristes» (TSDB). Il s'agit de la liste centrale de surveillance, dans laquelle figurent les terroristes connus et présumés. Cette liste, nettement plus longue, est mise à la disposition de nombreuses institutions gouvernementales américaines, dont les autorités de poursuite pénale, le ministère américain des Affaires étrangères, le service américain de l'immigration et l'agence de sécurité des transports (TSA). Cette dernière est également responsable des contrôles de sécurité dans les aéroports.

Quelles sont les conséquences de cette découverte?

On ne le sait pas encore.

La fuite de données devrait donner lieu à une enquête du Congrès américain. C'est ce qu'a fait savoir sur Twitter le député républicain Dan Bishop, qui siège au comité de surveillance compétent de la Chambre des représentants.

Comment cela a-t-il pu arriver?

La compagnie aérienne américaine CommuteAir a déclaré que les données avaient été récupérées par des tiers non autorisés via un «serveur de développement mal configuré». La faille aurait donc eu lieu dans un système informatique en ligne exploité à des fins de test de logiciels.

La chercheuse en sécurité informatique aurait, en outre, obtenu, sur ce même serveur, l'accès à une base de données contenant des données personnelles d'employés de CommuteAir.

Selon les premières constatations, aucune donnée de clients n'a été divulguée. Le serveur concerné a été immédiatement mis hors ligne. Par la suite, une enquête a été ouverte.

Est-ce le premier incident du genre?

Non.

En août 2021, le chercheur ukrainien en sécurité, Volodymyr Djatchenko, avait trouvé une liste – probablement plus récente encore - de personnes que les Etats-Unis considèrent comme un risque pour la sécurité. A l'époque, une base de données était accessible sur un système informatique avec une adresse Internet bahreïnie, rappelle heise.de. Cette liste ne contenait pas seulement 1,9 million de noms, mais aussi la nationalité, le sexe, la date de naissance, le numéro de passeport et le statut «no fly» des personnes concernées.