Il existe deux générations distinctes de cyberattaques visant le secteur de l’aviation civile. La première génération implique des violations de base des systèmes aéronautiques, entraînant des pertes mineures telles que des retards de vol. La deuxième génération est plus avancée, ciblant principalement les données et présentant des risques croissants pour la navigation aérienne. Cette préoccupation a été soulignée dans la résolution 2341 du Conseil de sécurité des Nations Unies, adoptée en 2017, qui mettait l’accent sur le renforcement de la cybersécurité pour protéger les infrastructures critiques contre les attaques terroristes. La résolution a attiré l’attention de la communauté internationale sur l’exploitation potentielle des vulnérabilités du secteur de l’aviation par des organisations terroristes ou des États hostiles, entraînant une augmentation des cybermenaces.
Voix d’avertissement
De nombreuses alertes et analyses ont mis en évidence les pertes économiques massives subies par le secteur de l’aviation civile en raison du nombre croissant de cyberrisques, de menaces et d’attaques au cours des dernières années, et la probabilité que ces menaces s’intensifient à l’avenir. Le Dr Abdel Khalek Mohamed Lotfy, responsable des communications et des technologies de l’information à la Compagnie de l’aéroport du Caire, a estimé que les pertes subies par les pays en raison des cyberattaques contre les compagnies et les installations aéronautiques nationales pourraient atteindre des milliards de dollars, les projections suggérant que ces pertes pourraient s’élever à 23 billions de dollars d’ici 2027. KPMG a indiqué que le secteur de l’aviation civile a subi une perte importante de 252 milliards de dollars en 2020. De même, lors du « Aviation Cybersecurity Forum », Luis Felipe de Oliveira, directeur général du Conseil international des aéroports, a souligné l’attractivité du secteur de l’aviation tant pour les États que pour les pirates informatiques en raison de la grande quantité de données qu’il détient, ce qui en fait une cible pour le phishing, les logiciels malveillants et d’autres cyberattaques, qui ont en effet augmenté récemment.
En mars 2022, Salvatore Sciacchitano, président de l’Organisation de l’aviation civile internationale (OACI), a confirmé le nombre croissant de cyberattaques visant le secteur de l’aviation civile, notant que 61 % des aéroports du monde avaient été touchés. Il a mis en garde lors du même « Forum sur la cybersécurité de l’aviation » contre la gravité et la fréquence croissantes de ces attaques, car elles entraînent des pertes importantes. Dans un contexte connexe, Sylvain Lefèvre, directeur adjoint de la sûreté et de la facilitation de l’aviation à l’OACI, a souligné que tous les États membres doivent adhérer à des normes spécifiques. Il s’agit notamment de s’assurer que les exploitants et la direction des installations aéronautiques comprennent la sensibilité des informations, des systèmes et des données utilisés dans l’aviation civile, de mettre en place des systèmes de protection robustes contre les violations externes, de mettre en œuvre des programmes d’évaluation stricts et de limiter l’accès à distance aux divers systèmes. Cependant, un audit de l’OACI portant sur 54 pays a révélé des lacunes importantes, 15 % des pays ne disposant pas des infrastructures et des mesures d’identification des risques nécessaires, et 26 % n’ayant pas de définition claire de la cybersécurité.
Selon les données de l’Agence de l’Union européenne pour la sécurité aérienne (AESA), le nombre de cyberattaques contre le secteur de l’aviation civile a fortement augmenté pendant la pandémie de COVID-19, la période entre 2019 et 2020 ayant vu ces attaques quintupler. Les compagnies aériennes commerciales sont devenues la cible de près de 61% des cyberattaques détectées sur le secteur de l’aviation en 2020. Patricia Reverdy, secrétaire exécutive de la Conférence européenne de l’aviation civile, a suggéré que la réalité pourrait dépasser de loin ces chiffres, surtout compte tenu de la nature confidentielle de nombreuses cyberattaques, qui ne sont souvent pas signalées par les personnes touchées.
Cas et exemples
Plusieurs pays ont été confrontés à des cyberattaques visant leur secteur de l’aviation civile, avec des degrés d’impact variables. Voici un aperçu chronologique des incidents les plus notables :
Égypte : En novembre 2023, l’aéroport international du Caire a fait l’objet d’une cyberattaque visant son site web, mais pas ses systèmes internes, car les deux sont distincts. Le ministère égyptien de l’Aviation civile a confirmé que la violation avait été contrée avec succès en mettant le site Web hors ligne par mesure de précaution jusqu’à ce qu’il soit prêt à l’emploi, le travail se poursuivant par d’autres moyens. Tous les services et données du site, y compris les informations sur les passagers, les données des compagnies aériennes, les listes de restaurants et de cafés, les boutiques hors taxes et les salons, ont été sécurisés, sans interruption des services fournis aux passagers ou entre l’aéroport et les compagnies aériennes. Le groupe de pirates informatiques « Anonymous » a revendiqué la responsabilité de l’attaque, affirmant qu’elle avait provoqué la fermeture de l’application de l’aéroport du Caire et la mise hors ligne du site Web pendant 20 heures, ciblant également le service de messagerie de l’aéroport. Les autorités égyptiennes ont confirmé que l’attaque avait eu lieu en dehors des frontières de l’Égypte.
États-Unis : Le 10 octobre 2022, plusieurs aéroports américains, dont l’aéroport LaGuardia de New York, l’aéroport international Hartsfield-Jackson d’Atlanta, l’aéroport international de Des Moines dans l’Iowa, l’aéroport international de Los Angeles et l’aéroport international O’Hare de Chicago, ainsi que le site Web « Fly LAX », ont été touchés par des cyberattaques russes. Ces attaques ont ciblé des systèmes sans rapport avec le contrôle du trafic aérien, la coordination interne des compagnies aériennes ou la sécurité des transports, mais elles ont perturbé l’accès du public aux domaines Web qui signalent les temps d’attente et la congestion des aéroports. Malgré les efforts déployés pour restaurer les systèmes de chaque aéroport, des attaques similaires ont touché plusieurs aéroports, ce qui a conduit certains sites Web à fonctionner de manière ponctuelle et de secours sans affecter le contrôle du trafic aérien, les communications, la sécurité des transports ou les systèmes internes.
Iran : Le 21 novembre 2021, la compagnie aérienne privée iranienne Mahan Air, première compagnie aérienne privée du pays après la compagnie d’État Iran Air et cible des sanctions américaines depuis 2011, a subi une cyberattaque sur son système informatique. Malgré l’attaque, l’horaire des vols de la compagnie aérienne n’a pas été affecté. La compagnie aérienne a reconnu qu’elle avait été la cible de plusieurs cyberattaques dans le passé, attribuant cela à son rôle important dans l’industrie aéronautique du pays.
Royaume-Uni : En janvier 2020, la compagnie aérienne britannique EasyJet a été victime d’une violation qui a compromis les données de 9 millions de clients, bien que la compagnie n’ait divulgué l’incident qu’en mai de la même année. À la suite de la violation, de multiples recours collectifs ont été intentés par 10 000 clients de plus de 50 pays, réclamant une indemnisation de 18 milliards de livres sterling, d’autant plus que la société avait caché la violation pendant quatre mois, au cours desquels les pirates ont accédé aux adresses e-mail des passagers et à certaines données liées aux voyages, mais pas à leurs passeports. De plus, British Airways a subi une cyberattaque en 2018 sur sa bibliothèque JavaScript, qui a impliqué un code malveillant connu sous le nom de Magecart, compromettant les données de plus de 400 000 clients et employés en raison de mesures de sécurité inadéquates lors du traitement d’informations personnelles sensibles, notamment les détails de la carte de paiement, les adresses et les noms. La compagnie aérienne a ensuite été condamnée à une amende de 20 millions de livres sterling pour ne pas avoir protégé les données financières et personnelles de ses clients.
Hong Kong : En 2018, Cathay Pacific Airways a été touchée par une cyberattaque qui s’est poursuivie intensément jusqu’en mai 2020, compromettant les données de 9,4 millions de clients. Les données volées comprenaient des informations de carte de crédit, des détails de passeport, des numéros de téléphone, etc. La principale cause de la violation était la protection inadéquate des mots de passe de la compagnie aérienne, la sécurité des fichiers de sauvegarde et le système d’exploitation obsolète utilisé. En septembre 2018, la compagnie aérienne a introduit l’authentification multifactorielle (MFA) dans l’ensemble de sa base d’utilisateurs afin de prévenir de futures attaques.
Canada : En 2018, Air Canada a été victime d’une atteinte à la protection des données touchant environ 20 000 clients par l’intermédiaire de son application mobile. Les analystes ont suggéré que les informations compromises comprenaient des numéros de téléphone, des adresses e-mail, des détails de passeport, des adresses de clients, des nationalités, des informations sur les grands voyageurs, etc. Cependant, la compagnie aérienne a nié que des informations financières liées aux méthodes de paiement aient été volées. À la suite de l’atteinte, Air Canada a fermé les comptes de tous les clients qui avaient changé leurs mots de passe et leur a envoyé des courriels pour les assurer que leurs mots de passe n’étaient pas à risque et que la compagnie aérienne travaillait avec des experts pour améliorer les mesures de sécurité.
Arabie saoudite : En décembre 2016, l’Autorité générale saoudienne de l’aviation civile a annoncé que six installations saoudiennes, dont l’Autorité générale de l’aviation civile elle-même, avaient été ciblées par une série de cyberattaques. Bien qu’aucun de ses systèmes de navigation, aéroports, réseaux principaux, ressources humaines, systèmes financiers, permis de sécurité, systèmes d’exploitation ou sites Web n’ait été touché, certains serveurs et appareils de l’aéroport ont été désactivés, ce qui a entraîné des interruptions dans les services fournis. Les attaques ont tenté de s’emparer de données des systèmes informatiques et d’installer des logiciels malveillants. Certains ordinateurs de bureau des employés ont également été touchés jusqu’à ce que les appareils infectés soient isolés du réseau et que les données soient restaurées en toute sécurité, tandis que les appareils non touchés ont été fournis aux employés pour reprendre leur travail. Par la suite, le service des systèmes touchés a été rétabli après un arrêt et une surveillance préventifs.
Facteurs explicatifs
Les cas ci-dessus, de nature diverse et de gravité variable, peuvent potentiellement s’expliquer par les facteurs suivants :
Attractivité du secteur de l’aviation : Le transport aérien est une industrie vitale qui contribue de manière significative au développement économique et au revenu national, jouant un rôle important dans le commerce, le transport, les infrastructures, etc. En tant que telle, l’industrie de l’aviation est une cible attrayante pour les États, les pirates et les amateurs en raison des données sensibles qu’elle détient, telles que les noms des passagers, les numéros d’identité, les détails du passeport, les résidences, les photos, les empreintes digitales biométriques, les destinations de voyage, etc. Les pirates et les amateurs peuvent extraire des données de paiement par carte de crédit de grande valeur à partir de ces informations et les utiliser dans divers stratagèmes de fraude en ligne, ou utiliser des ransomwares ou des attaques par déni de service distribué (DDoS) pour extorquer des compagnies aériennes.
Numérisation mondiale du secteur de l’aviation : Le secteur de l’aviation est sans aucun doute équipé d’un large éventail de systèmes technologiques avancés. Alors que les aéroports continuent d’adopter les progrès technologiques pour suivre l’évolution de l’exploitation des aéronefs et de la gestion des données, la numérisation de la gestion du trafic aérien et sa nature en réseau, associées à l’interconnexion mondiale des systèmes d’information des aéronefs pour la sécurité et la détermination des itinéraires, devraient accroître les risques et les défis auxquels l’aviation civile est confrontée. C’est notamment le cas avec l’intégration de technologies de pointe telles que l’intelligence artificielle (IA) dans les cyberattaques ciblant le secteur. Même une cyberattaque limitée sur n’importe quel système d’exploitation peut causer des dommages mondiaux rapides et exposer les données de ces systèmes à la corruption, augmentant ainsi le nombre de vulnérabilités exploitables.
Multiplicité des systèmes aéronautiques nécessitant une protection : Au cours de la dernière décennie, les avions sont devenus ce que l’on pourrait appeler un « centre de données volants », nécessitant la protection et la fortification de plusieurs systèmes contre les cyberattaques. Il s’agit notamment des systèmes de communication et de décollage des avions, des systèmes de réservation de voyages en ligne et mobiles, des systèmes de paiement et de billetterie, des systèmes de données sur le fret, des sites Web internes de compagnies aériennes, des informations personnelles sur les clients, etc.
Exploitation de la pandémie : L’épidémie mondiale de COVID-19 en 2020 a mis en évidence les dangers et les risques des cyberattaques, qui ont ciblé les compagnies aériennes ainsi qu’un large éventail d’autres secteurs. La plupart des compagnies aériennes ont été durement touchées par la pandémie, de nombreuses compagnies aériennes étant incapables de rembourser leurs prêts et de régler leurs engagements financiers en raison de pénuries de liquidités, ce qui a entraîné des faillites et des liquidations. Cependant, l’augmentation des cyberattaques sur le secteur de 2019 à 2020 était principalement due à l’augmentation du travail à distance et à la numérisation de l’infrastructure du secteur, qui a permis aux attaquants d’exploiter la demande croissante d’informations en menant des attaques de phishing et en propageant des ransomwares.
Lacunes technologiques : Malgré la numérisation généralisée du secteur de l’aviation, il est souvent négligé par les gouvernements, ce qui rend les compagnies aériennes vulnérables aux cyberattaques. Par exemple, certaines compagnies aériennes continuent d’utiliser des systèmes d’exploitation obsolètes qui ne sont plus pris en charge par les fabricants, ce qui les rend plus vulnérables aux attaques. De même, certaines compagnies aériennes ne mettent pas en œuvre l’authentification multifactorielle (MFA) dans leurs systèmes internes, ce qui entraîne des violations de données et un accès non autorisé aux informations personnelles des employés. Par conséquent, les cyberattaques contre les compagnies aériennes sont considérées comme l’une des plus grandes menaces pour l’industrie aérienne à l’avenir.
Conclusion
En conclusion, l’évolution rapide de l’aviation civile, que ce soit par l’utilisation généralisée de la technologie dans ce secteur vital, la dépendance à l’infrastructure numérique ou des lacunes importantes dans les capacités techniques du secteur, a entraîné une augmentation des cyberattaques contre divers aéroports et compagnies aériennes nationales. Cela a suscité un vaste débat parmi les experts de l’industrie concernant l’avenir de l’aviation à la lumière de ces attaques. Les experts ont même suggéré que nous pourrions un jour assister à des cyberdétournements, car les attaquants d’aujourd’hui ne se limitent pas à pénétrer dans les systèmes aéroportuaires individuels, et la plupart des cyberattaques ciblent des systèmes aéroportuaires avancés qui pourraient poser des défis importants à l’industrie de l’aviation à l’avenir.
