Cyberattaques dans les aéroports : une faille qui s’agrandit

Une cyberattaque a provoqué d'importants retards à Londres-Heathrow et d'autres aéroports européens.
Reuters

Une cyberattaque a provoqué d'importants retards à Londres-Heathrow et d'autres aéroports européens.
Reuters
Le secteur aérien a vécu des heures très agitées après la cyberattaque qui a traversé l’Europe ce week-end. Celle-ci a touché les aéroports de Bruxelles, Berlin, Londres et Dublin comme cela a été confirmé, perturbant largement leurs opérations aériennes, mais ils ne seraient pas les seuls. Selon une source industrielle, d’autres plateformes seraient également concernées « d’un bout à l’autre de l’Europe ». La France a, en revanche, été épargnée.
Ces attaques n’ont pas visé directement les systèmes aéroportuaires, mais le système commun de traitement des passagers Muse de Collins Aerospace (groupe RTX) qui permet de gérer l’enregistrement, la dépose des bagages, le passage de la sécurité et l’embarquement des passagers. Ce sont les deux premières fonctions qui ont été affectées selon une déclaration de la société américaine. Cela a suffi a engrangé des dizaines d’annulations et des centaines de vols retardés, selon le fournisseur de données Cirium.
Ce lundi, des perturbations se faisaient encore ressentir ce lundi. Interrogé sur les origines de l’événement et ses répercussions, RTX s’est limité à une nouvelle communication laconique.
Peu d’informations circulent pour l’instant sur le mode opératoire des assaillants. RTX a confirmé à l’agence Reuters qu’il s’agissait d’une « perturbation liée à la cybercriminalité ». Et ce lundi, l’Agence européenne pour la cybersécurité (Enisa) a déclaré qu’il s’agissait bien d’une attaque au rançongiciel, ou « ransomware », sans donner plus de détails. Cette information a été confirmée par une autre source à La Tribune.
Un point de vue confirmé par Marion Buchet, directrice du Cert Aviation (Computer Emergency Response Team, équipe spécialisée dans la cybersécurité du secteur aéronautique), qui a surveillé les événements de près. Plutôt que de s’attaquer à des systèmes hautement protégés, comme les programmes de gestion du trafic aérien, les pirates ciblent des maillons tiers plus exposés, tels que les services d’enregistrement. Protéger dans la profondeur ce type de systèmes s’avère coûteux et complexe, d’autant qu’ils réunissent plusieurs acteurs (compagnie aérienne, aéroport, assistant en escale…). Les solutions sont limitées, si ce n’est avoir des systèmes redondants provenant d’un autre fournisseur ou basculer le plus vite possible sur des opérations manuelles en cas d’attaque.
Si la France a été épargnée, c’est que Muse est peu répandu en France. Le pays possède aussi une organisation en cybersécurité bien développée, estime Marion Buchet. Le Cert Aviation s’est d’ailleurs penché sur ce cas d’usage l’an dernier, dans le cadre du Conseil pour la cybersécurité du transport aérien (CCTA, qui regroupe l’Anssi, les ministères de l’Intérieur, des Armées et des transports, et les principaux acteurs français du secteur).
Alertes en temps réel sur les informations économiques majeures.

Cela n’empêche pas cette pratique d’être de plus en plus répandue. Les cybercriminels ont compris qu’avec la numérisation progressive des services, il était possible de rationaliser le temps consacré au piratage. Le résultat n’en demeure pas moins dévastateur. D’autant plus que la production de ce type de logiciel est concentrée dans la main de quelques grands éditeurs. Lorsque l’un d’eux est touché, les conséquences peuvent être rapidement massives. L’exploitation d’une « simple vulnérabilité » peut ainsi revêtir un caractère systémique.
Collins Aerospace avait déjà subi ce mode opératoire en 2023, avec un vol massif de données, mises en ligne par les hackeurs dans la foulée. Ce fut le cas aussi pour Viasat en 2022, où l’attaque n’a pas porté sur les communications satellitaires, mais sur des infrastructures terrestres. Cette paralysie des systèmes est par ailleurs pleinement exploitée dans les conflits comme la guerre en Ukraine. Ainsi, en juillet dernier, une attaque ukrainienne contre les serveurs de la principale compagnie aérienne russe, Aeroflot, a conduit à l’annulation de nombreux vols.
Outre la mise hors service du système, ces attaques sont l’occasion pour les pirates de récupérer nombre de données. Les systèmes d’enregistrement et de dépose des bagages collectent les données passagers, dont leur identité, les informations de vol, les programmes de fidélité, et possiblement les moyens de paiement. Collins Aerospace met ainsi en avant l’utilisation de Muse pour des solutions biométriques ou encore la vente de services ancillaires (comme le choix d’un siège à bord, moyennant un supplément). L’expert en cybersécurité Adrien Merveille, met ainsi en avant « la valeur potentielle des données hébergées par la société visée ».
Dans les cas de ransomware, les cybercriminels ont pour habitude d’entrer en contact avec leur cible après l’exfiltration des données. Une rançon colossale peut-être exigée, assortie de la menace de voir l’intégralité des données exposées sur le darknet si aucun accord n’est trouvé. « Si les fichiers ont bien été dérobés, les dossiers contenant des données clients se revendent très rapidement sur les plateformes illicites », conclut Adrien Merveille.
À lire également
Selon les analyses de Check Point, le secteur du transport et de la logistique figure systématiquement parmi les dix industries les plus attaquées au monde, avec une moyenne de 1 143 cyberattaques par organisation chaque semaine ces derniers mois, soit une hausse de 5 % en un an. Une autre étude, publiée en juin dernier par Thales, estime que l’impact financier des cyberattaques dans le monde aéronautique se chiffre à plusieurs milliards d’euros par an.