Comme tant d’histoires relatant des pertes de données catastrophiques, celle-ci a démarré assez innocemment.
En octobre 2017, un individu a remarqué une clé USB dans la rue d’une banlieue de Londres.
Après avoir connecté cette clé USB à un ordinateur dans la bibliothèque publique locale, il a découvert qu’elle contenait 1 000 fichiers dans 76 dossiers et une mine de données sur les systèmes et procédures de sécurité de l’un des plus grands aéroports du monde, Heathrow !
Comme nous sommes, aujourd’hui, amenés à écrire à ce sujet, vous pouvez déjà deviner qu’aucune des données n’était chiffrée ou protégée par un mot de passe !
L’individu en question a décidé de raconter cette découverte au journal The Sunday Mirror. Le journal a ensuite publié un article expliquant que cette perte aurait pu compromettre la sécurité de l’aéroport, notamment en mettant en danger la Reine Elizabeth II, des hommes politiques et des personnalités de marque.
Hier, la société chargée de gérer les données, Heathrow Airport Ltd (HAL), a été condamnée à une amende de 120 000£ (140 000€) par l’ICO (Information Commissioner’s Office) britannique, pour avoir permis que cet événement se produise.
Qu’y avait-il sur la clé USB ?
L’aéroport de Heathrow a affirmé que 1% seulement des données sur la clé USB étaient des données personnelles, ce qui aurait été un argument recevable si cela n’avait pas inclus une vidéo de formation contenant les noms, les dates de naissance, les immatriculations de véhicules, les données de passeport et les numéros de téléphone portable de 10 personnes impliquées dans des procédures de sécurité importantes au niveau de l’aéroport.
Elle contenait également des informations sur 12 et 50 personnes impliquées dans la sécurité, y compris leurs noms et fonctions. Il s’est avéré que ces informations étaient visibles dans la vidéo, imprimées sur les pages d’un document relié à anneaux, qu’un individu a négligemment filmées.
Le journal a indiqué que la clé USB contenait d’autres données de sécurité, notamment des horaires de patrouille, des itinéraires empruntés par des ministres du Cabinet Britannique et des dignitaires étrangers, ainsi que des mesures de sécurité visant à protéger la Reine.
Que s’est-il passé ?
De nombreux membres du personnel utilisent des clés USB, y compris la leur, malgré le fait que l’aéroport d’Heathrow ne dispose pas de “contrôles techniques adéquats” pour les empêcher de sauvegarder des données non chiffrées. Une minorité d’entre eux avait reçu une formation sur les risques liés à la sécurité lors de l’utilisation de clés USB.
L’aéroport d’Heathrow semble nier que quiconque puisse sauvegarder des données sur des périphériques ou, s’ils le faisaient, ne les sécurise pas correctement. A priori, des clés USB d’une capacité de 1 Go n’ont jamais existé !
La seule raison pour laquelle l’aéroport d’Heathrow a dû reconnaître des problèmes est qu’un employé a égaré une clé USB sur son chemin, laquelle a été récupérée par un individu et envoyée à un journal. Cet incident a donc été un vrai coup de chance, étant donné la possibilité que ces données puissent tomber dans de mauvaises mains, et ce par négligence !
L’aéroport a admis qu’il n’avait aucune idée des autres données qui auraient pu être copiées sur des clés USB par le passé.
Peut-être que maintenant, ils prendront les mesures nécessaires pour réduire le risque de violation des données au niveau des clés USB, par exemple en limitant le nombre de lecteurs de périphériques USB autorisés, en vérifiant ce qui est véritablement copié sur ces dernières, et en chiffrant toutes les données sensibles qui doivent réellement être sauvegardées sur des périphériques amovibles.
Billet inspiré de Airport mislays world’s most expensive USB stick, sur Sophos nakedsecurity.