Si le secteur aéronautique avait été épargné par les attaques cyber pendant la pandémie de COVID 19, le retour des voyageurs dans les aéroports s’accompagne d’une recrudescence de la cybercriminalité. L’adoption généralisée des technologies numériques contribue à l’accroissement de la surface d’attaque des compagnies aériennes qui à cause des bouleversements politiques sont devenues des cibles de choix. Dans cet article, nous passerons en revue quelques-unes des récentes cyberattaques dont ont été victimes les compagnies aériennes. Nous évoquerons aussi comment l’aéronautique réagit et les principales menaces qui continuent à peser sur ce secteur.
Panorama de quelques cyberattaques contre le secteur aéronautique
Comme d’autres secteurs, l’aéronautique est également vulnérable aux cyberattaques de notre siècle. L’organisation européenne pour la sécurité de la navigation aérienne européenne « Eurocontrol » publie chaque année une carte des incidents de cybersécurité dans l’aéronautique établie par l’EATM-CERT (European Air Traffic Management Computer Emergency Response Team) — l’équipe du centre de réponse aux attaques informatiques pour la gestion du trafic aérien en Europe.rattacks of the 21st century. Eurocontrol, a European organization focusing on European aviation, publishes the EATM-CERT Aviation Cyber Event Map annually.
D’après cette carte, le secteur de l’aéronautique a essuyé 52 attaques en 2020 et 48 en 2021. Entre le mois de janvier et la fin août 2022, 50 attaques ont été recensées — autrement dit, le même nombre d’attaques en moyenne qu’en 2020 et 2021, en 8 mois seulement, au lieu de 12.
Retour sur les principaux types d’attaques de ces trois dernières années
- Attaques par rançongiciel (22 %)
- Violations de données (18,6 %)
- Attaques par hameçonnage (15,3 %)
- Attaques par déni de service distribué (DDoS) (7,3 %)
L’augmentation ces derniers mois du nombre d’attaques commanditées par des États sur des cibles aériennes civiles et militaires est particulièrement inquiétante. Selon le Département de l’aviation de Chicago, flyChicago.com et d’autres sites Web associés à l’aéroport international O’Hare et à l’aéroport international Midway sont tombés à cause d’une attaque d’origine présumée russe. Même si l’attaque n’a eu aucune incidence sur les activités aéroportuaires, elle met en évidence les profondes vulnérabilités du secteur aéronautique.
Les aéroports de Chicago ne sont pas les seuls concernés. Au total, ce sont les sites Web de 14 aéroports qui ont été touchés, dont les aéroports internationaux d’Atlanta et de Los Angeles. Le groupe de pirates IT Killnet a revendiqué la responsabilité de ces attaques coordonnées et publié sur l’application Telegram (dark web) la liste des sites Internet de structures étatiques dans son viseur. Killnet a également revendiqué une autre série de cyberattaques contre l’Estonie et la Lituanie.
Mais ces types d’attaques ne sont pas le seul motif de préoccupation du secteur. Fin septembre 2022, American Airlines a confirmé une violation de données portant sur un « petit nombre » de clients et d’employés. Les attaquants ont pu accéder aux boîtes mail des employés grâce à une campagne d’hameçonnage « réussie ». American Airlines s’est entre autres engagée à fournir aux clients concernés des services de protection contre le vol d’identité. Il est cependant regrettable de voir ces types de violations de données se généraliser dans l’aéronautique et d’autres secteurs.
Surface d’attaque et vulnérabilités dans l’aéronautique
L’importante surface d’attaque de l’industrie aéronautique constitue l’un des principaux facteurs de risques. Autrefois, s’en prendre aux technologies aéronautiques donnait du fil à retordre aux cybercriminels. S’introduire dans les équipements et les logiciels spécifiques à ce secteur nécessitait en effet des connaissances poussées. Mais la modernisation poussée par le numérique a induit des changements considérables dans un secteur aéronautique qui doit aussi relever de nouveaux défis.
Wi-Fi gratuit à bord des appareils, systèmes de divertissement en vol et cartes d’embarquement numériques ne sont que quelques exemples des nouvelles technologies qui redessinent le secteur. En plus de se soucier du confort de leurs passagers, les compagnies aériennes et les aéroports utilisent de plus en plus souvent des logiciels dédiés pour gérer leur chaîne d’approvisionnement. Le bon fonctionnement des appareils repose de plus en plus sur des commandes numériques. Quant aux appareils IoT et aux services cloud, les compagnies aériennes y ont recours pour améliorer toujours plus leurs services.
Avec la levée des restrictions sanitaires, de nombreux Américains voyagent à nouveau en avion. Bien que l’achat d’une voiture électrique soit une option envisagée par plus de 40% des français pour leur prochain achat d’un véhicule, le transport aérien reste un pilier central de l’infrastructure internationale. Adapté par conséquent aux exigences des voyages aériens du XXIe siècle, ce secteur offre plus de sécurité et de meilleures performances.
Malheureusement, c’est aussi un écosystème vaste et sophistiqué où les données doivent être partagées entre des groupes qui fonctionnent avec des systèmes différents. Conséquence : la surface d’attaque totale de l’industrie du transport aérien s’est énormément agrandie. Certains de ces systèmes sont cependant plus vulnérables aux attaques que d’autres.
Principaux facteurs en cause : les systèmes distants comme les lecteurs biométriques, la robotique, les capteurs et actionneurs IoT, ainsi que les systèmes cloud qui ont besoin d’une connexion Internet pour fonctionner. Les téléphones cellulaires et appareils personnels utilisés dans un contexte professionnel (le BYOD) représentent aussi une menace. Aujourd’hui aux France, près de 55 % des 7-14 ans possèdent un smartphone , nombre qui atteint 94 % chez les 15-29 ans. Les téléphones portables utilisés dans le cadre d’une Politique BYOD représentent un type de menace particulière pour la sécurité du fait des difficultés qu’ils posent aux professionnels IT pour en réguler l’usage.
D’autres gros systèmes sont particulièrement vulnérables aux cyberattaques et autres actes de cybermalveillance :
- Systèmes de réservation
- Systèmes de gestion de l’information aéronautique
- Systèmes de gestion du trafic aérien, comme RADAR, surveillance dépendante automatique en mode diffusion (ADS-B), systèmes mondiaux de navigation par satellite
- Serveurs d’historique de vol
- Systèmes de planification des flottes et des itinéraires des compagnies aériennes
- Portails de réservation de billets
- Dispositifs du personnel de cabine
- Systèmes numériques de contrôle du trafic aérien et autres systèmes de gestion du trafic
Sans être exhaustive, cette liste démontre les effets de la sophistication du secteur aérien et de l’adoption des technologies numériques sur le formidable élargissement de sa surface d’attaque et l’augmentation du nombre de vulnérabilités.
Types d’attaquants et motivations
Comme c’est le cas dans d’autres secteurs, l’aéronautique a accès à des informations de valeur et à des données sensibles. Le transport aérien est également une pièce maîtresse de la chaîne d’approvisionnement mondiale. Il pèse dans l’économie et sur le tissu social mondial. Tous ces facteurs offrent de nombreuses sources de motivation pour les assaillants. Qui retrouve-t-on le plus souvent derrière les cyberattaques contre le secteur de l’aéronautique ?
- Acteurs étatiques : il s’agit de pirates informatiques ou de cybercriminels qui attaquent pour des raisons politiques.
- Menaces persistantes avancées : il s’agit d’attaquants soutenus par des États et qui tentent de mettre la main sur des renseignements ou d’autres données pour affaiblir les capacités aéronautiques des pays visés et améliorer les leurs.
- Cybercriminels : il s’agit d’attaquants principalement motivés par l’argent. Mus par l’appât du gain, ils attaquent les systèmes souvent à l’aide de rançongiciels et en menaçant de faire plus de dégâts.
- Menaces internes : il peut s’agir d’employés mécontents, d’anciens employés ou d’autres personnes ou groupes disposant d’accès à des informations et des systèmes non publics. Ces attaquants sont particulièrement dangereux parce qu’ils peuvent être motivés par l’argent ou la vengeance.
Les grands défis de la cybersécurité dans l’aéronautique
Afin de répondre à certaines de ces menaces, l’industrie aéronautique va devoir adopter des politiques de gestion des vulnérabilités et de prévention des attaques. Il faut tout d’abord mieux sécuriser les systèmes multicouches sophistiqués pour leur permettre de fonctionner en continu. Les principes « zero-trust » peuvent être facilement appliqués aux systèmes aériens, et contribuer ainsi à freiner l’évolution d’attaquants qui parviendraient à s’introduire dans un système.
Il faut ensuite tenir compte de l’utilisation accrue de solutions logicielles vendues dans le commerce — ces dernières étant plus simples à comprendre pour un cybermalfaiteur que des équipements et logiciels aéronautiques spécifiques. Les logiciels évoluent progressivement vers un modèle SaaS, ou « logiciel en tant que service », avec des mises à jour logicielles plus fréquentes et souvent effectuées à la volée.
Si elles veulent garantir un niveau de cybersécurité maximum, les compagnies aériennes vont devoir encadrer l’implémentation des mises à jour SaaS par des bonnes pratiques. Prenons le cas d’une compagnie aérienne qui utilise un logiciel dans le cloud comme back-end pour son programme de fidélité. De nombreux passagers voyagent en utilisant leurs miles qui sont adossés à ces services cloud. Or, rien n’empêche les pirates de cibler ces services pour tenter de récupérer des données critiques.
L’Administration fédérale de l’aviation (FAA) et le programme SESAR (Single European Sky ATM Research) ont entrepris de moderniser les systèmes de gestion du trafic aérien. La FAA développe actuellement le système de transport aérien nouvelle génération (NextGen), qui prévoit la mise en réseau des systèmes informatiques via la technologie IP.
Pour être certains que la sécurité sera abordée avec le sérieux et la priorité requis pour ces développements, ces changements devront idéalement intégrer une démarche DevSecOps et d’autres bonnes pratiques de cybersécurité.
Note : Cet article de blog a été écrit par un contributeur invité dans le but d’offrir une plus grande variété de contenus à nos lecteurs. Les opinions qui y sont exprimées sont uniquement celles de l’auteur et ne reflètent pas nécessairement la position de GlobalSign.