Des hackers montrent comment ouvrir n'importe quelle valise

Lors d'une conférence annuelle de hackers tenue ce samedi à New York, les hackers connus sous les pseudonymes de DarkSim905, Nite 0wl et Johnny Xmas ont révélé les répliques et empreintes de la huitième et dernière clé du trousseau utilisé par l'Agence nationale américaine de sécurité dans les transports (la TSA). Cette clé permet virtuellement d'ouvrir toutes les valises du monde puisque les cadenas de la plupart des valises en vente sur le marché mondial sont approuvés par la TSA.

Depuis l'été dernier, des hackers et des passionnés de lockpicking (crochetage de serrure) collaborent en ligne pour reproduire cette clé passe-partout, en créer des prototypes avec des imprimantes 3D et échanger leurs résultats.

Johnny Xmas nous a expliqué que les hackers et les fans de serrure ont chacun trouvé leur intérêt dans ce projet. Ils voulaient absolument faire tomber le système de la TSA, un peu comme on résout une énigme. Puis ils ont réalisé qu'en répliquant le passe-partout de la TSA, ils prouveraient que le système de cadenas de l'agence est terriblement fragile. Ainsi, ils pouvaient expliquer que l'idée même de passe-partout et de systèmes de sécurité délégués à un tiers était problématique.

Tout a commencé en 2014, quand le Washington Post a publié un article sur ce qui arrivait aux bagages après le check-in à l'aéroport. Pour illustrer le papier, le journal américain a malencontreusement utilisé une photo du trousseau de passe-partout d'un agent de la TSA.

Rapidement, l'image a fait le tour de Reddit et Shabab Shawn Sheikhzadeh, un « crocheteur de serrure entreprenant » d'après Johnny Xmas, s'y est intéressée de plus près. Sheikhzadeh a commencé par fouiller sur le site de Travel Sentry — l'une des deux entreprises qui fabriquent des cadenas de la TSA — pour trouver des images hautes résolution.

Pour se procurer ces images, il suffisait de s'identifier sur le site de Travel Sentry, sans utiliser une adresse en « gmail.com » ni « yahoo.com ». Sheikhzadeh s'est alors créé une adresse mail avec un compte Yahoo! indien (irongeek@yahoo.in) afin de pénétrer dans le site et de trouver des images haute définition du trousseau de pass utilisé par la TSA.

Il a ensuite mis ces photos en ligne, puis un expert en sécurité surnommé Xylitol a réussi à faire une empreinte des clés en se basant sur les photos. Il a alors partagé ces empreintes de clés sur Github, une plateforme en ligne où se retrouvent des programmateurs informatiques. Cela a attiré l'attention d'autres amoureux du crochetage de serrure et de hackers, qui ont rapidement compris ce qui était en jeu.

« Nous faisons ça comme un acte de désobéissance, » dit Xmas. « Nous voulons faire comprendre au public ce que cela signifie quand un organe gouvernemental demande à avoir accès à tout grâce à des pass. »

« La possibilité de créer des clés qui ouvrent les cadenas approuvés par la TSA depuis une image numérique ne pose pas de menace sur la sécurité aérienne », a indiqué à VICE news dans un e-mail, Michael England, le porte-parole de la TSA. « Ces cadenas sont des produits de grande consommation qui n'ont rien à voir avec le régime de sécurité aérienne de la TSA. »

« De plus, si les pass sont accessibles à des personnes non-autorisées, cela ne remet pas en cause la vérification physique des bagages lorsqu'ils passent aux rayons X, » a ajouté England.

S'il n'y a pas grand-chose en jeu pour les valises — en gros, certains pourront fouiller dans vos caleçons et chaussettes — la réponse de la TSA renforce néanmoins les craintes de Xmas : s'il y a un problème avec le pass qui protège votre sécurité ou vie privée, l'entité responsable de votre sécurité n'en a pas grand-chose à faire.

Suivez Tess Owen sur Twitter : @misstessowen