Protéger les aéroports des incidents informatiques

Les aéroports ont toujours été une cible attrayante pour les cybercriminels. Voici comment les protéger.

Protéger les systèmes d’information des aéroports contre les incidents informatiques n’est pas une mince affaire. Même un bug relativement mineur peut semer le chaos, entraîner des retards de vols et inciter les passagers mécontents à entamer des poursuites judiciaires. La panne du système informatique de Delta Airlines en 2016 illustre très bien ce phénomène puisqu’elle a causé des problèmes à des centaines de milliers de personnes dans le monde entier. Confrontée à des dépenses massives et à des dysfonctionnements opérationnels, en cas d’attaque l’administration aéroportuaire se démène pour éviter le chaos. Il n’est pas étonnant que les aéroports soient des cibles privilégiées pour les attaques de ransomware.

Les renseignements sur les passagers expliquent pourquoi les aéroports attirent l’attention des cybercriminels. Les systèmes aéroportuaires conservent les données des documents de voyage mais aussi les informations de paiement, ce qui est un problème pour les clients mais aussi pour les aéroports. Les lois actuelles sur la protection des données ne ménagent pas les organisations qui négligent la protection des données. Par exemple, l’aéroport d’Heathrow a été condamné à verser une somme de 120 000 £ pour la perte d’une clé USB contenant des informations d’opération, et notamment des détails sur plusieurs employés du service de sécurité.

Aéroports victimes d’incidents informatiques : les plus connus

Inutile d’aller chercher bien loin pour trouver des exemples d’incidents informatiques destructifs ayant affecté le trafic aérien.

  • Pendant l’été 2017, lors de la pandémie mondiale de ExPetr (ou NotPetya et PetrWrap), le site Internet et l’enregistrement en ligne de l’aéroport international de Kiev-Boryspil ont été hors-service et ont provoqué l’annulation de milliers de vols ;
  • Une autre attaque de ransomware a visé l’aéroport international Hartsfield-Jackson d’Atlanta. En mars 2018, ce dernier a dû fermer certaines sections de son site Internet et a demandé aux voyageurs de vérifier les informations directement auprès des compagnies aériennes. L’aéroport a aussi dû couper son réseau Wi-Fi pour confiner l’infection, ce qui a d’autant plus embêté les passagers ;
  • À Noël 2019, l’aéroport international d’Albanie a été victime d’une attaque de ransomware. Cette fois, l’incident n’a pas affecté les opérations aéroportuaires et il semblerait que les données des passagers n’aient pas été compromises, mais les cybercriminels ont chiffré les documents internes (y compris les sauvegardes). L’administration a cédé au chantage des criminels et a payé la rançon ;
  • En avril 2020, des inconnus ont mis en danger les deux sites Internet de l’aéroport international de San Francisco et ont introduit un code malveillant pour voler les identifiants de connexion des utilisateurs. L’objectif des cybercriminels n’était pas clair (tout comme leur degré de réussite) mais les employés de l’aéroport ont tout de même dû réinitialiser les mots de passe de leur adresse e-mail et du réseau.

Comment protéger les aéroports des cyber-attaques

De nos jours, un aéroport est une gigantesque structure qui déborde de systèmes d’information. Le plus souvent, les systèmes critiques sont isolés des réseaux de l’entreprise et des réseaux publics, mais les cybercriminels n’ont pas besoin d’attaquer l’infrastructure critique pour causer des dégâts. L’activité des compagnies aériennes, et de bien d’autres marchés et services, dépend du bon fonctionnement de systèmes informatiques plus simples.

Pour protéger l’ensemble de l’infrastructure, les équipes de cybersécurité des aéroports doivent obtenir en temps réel des informations sur les cybermenaces. C’est à ces fins que l’aéroport de Munich, qui prend la cybersécurité très au sérieux, nous a récemment contactés.

Les autorités aéroportuaires se sont abonnées au service [Threat Intelligence placeholder]Kaspersky Advanced Persistent Threat Intelligence Reporting[/Threat Intelligence placeholder] qui leur donne accès à nos données de recherche, apporte des renseignements quant aux méthodes, tactiques et outils que les cybercriminels utilisent actuellement et fournit des indicateurs de compromission. De plus, l’équipe de Munich a aussi décider d’avoir accès à nos services Threat Lookup, afin d’obtenir des données détaillées sur les menaces détectées, et Kaspersky Threat Data Feeds, qui peut être connecté aux systèmes de protection automatisés.

Cliquez ici pour savoir comment nous aidons l’aéroport de Munich a lutté contre les cybermenaces.

Conseils