Sur les 100 plus grands aéroports mondiaux, seuls trois protègent correctement leurs données. Tous les autres présentent de graves failles de cybersécurité. C’est ce que révèle un rapport édifiant publié par ImmuniWeb…
Le 22 janvier 2020, le Forum Economique Mondial tirait la sonnette d’alarme concernant le niveau de cybersécurité des aéroports. Suite à la publication de ce document, l’entreprise suisse ImmuniWeb a mené sa propre enquête et vient de publier son rapport » State of Cybersecurity at Top 100 Global Airports « .
En passant en revue les 100 principaux aéroports mondiaux, les chercheurs se sont aperçus qu’une grande majorité d’entre eux présente de graves lacunes en matière de sécurité. La plupart manquent cruellement de systèmes permettant de protéger leurs sites web, leurs applications mobiles et leurs Clouds publics.
Seuls les aéroports de Amsterdam Airport Schiphol, Helsinki-Vantaa Airport et Dublin Airport ont passé tous les tests sans qu’un problème majeur soit détecté. Ce sont les trois seuls à avoir reçu la note A+ en termes de sécurité pour leurs sites web.
Quinze autres aéroports ont obtenu la note de A, mais près de 25% écopent d’un rang F. Cela signifie que les logiciels utilisés sont obsolètes et présentent des failles de sécurité connues et exploitables dans leurs systèmes CMS comme Wordpress ou leurs composants web comme jQuery. Certains des sites web présentent même plusieurs composants vulnérables.
Au total, 97% des sites web d’aéroports déploient des logiciels web obsolètes, 24% présentent des vulnérabilités connues et exploitables, et 76% ne sont pas conforme au RGPD. De même, près de 25% n’ont pas de chiffrement SSL ou utilisent le SSLv3 déjà obsolète.
La situation est encore plus inquiétante en ce qui concerne les sites web mobiles. En examinant 36 applications mobiles d’aéroports, les chercheurs ont découvert plus de 500 problèmes de sécurité et de confidentialité et 288 failles de sécurité mobile. La moyenne est de 15 par application.
Toutes les applications qu’ils ont examiné avaient au moins cinq frameworks logiciels externes et au moins deux vulnérabilités. Près de 34% du trafic sortant des applications mobiles n’a pas de chiffrement du tout.
En outre, l’équipe de chercheurs d’ImmuniWeb a également découvert que 66 des 100 plus grands aéroports étaient exposés sur le Dark Web. Ils ont donc été récemment victimes de fuites de données sensibles telles que les passeports, les enregistrements financiers ou les mots de passe en clair des systèmes de production. Des données internes comme des codes source, des documents ou des enregistrements sont aussi en fuite.
De même, 87 aéroports sur 100 ont des données internes ou sensibles exposées sur des répertoires de code comme GitHub ou BitBucket. Une conséquence directe de l’omniprésence du CI/CD et du DevOps. Sur ce total, 59 aéroports présentent 227 fuites de code à risque élevé.
Plus de 70 expositions parmi les 325 détectées présentent un risque élevé ou critique. Près de 90% des aéroports sont victimes de fuite de données sur des répertoires de code public, et 503 des 3184 fuites sont de risque élevé ou critique pouvant potentiellement mener à une fuite. De même, 3% des aéroports étudiés utilisent un Cloud public mal protégé exposant des données sensibles.
La cybersécurité des aéroports est catastrophique
Selon Ilia Kolochenko, CEO de ImmuniWeb, » ces découvertes sont alarmantes compte tenu du nombre de personnes et d’entreprises accordant leur confiance aux aéroports internationaux chaque jour pour protéger leurs données et leurs vies « .
A ses yeux, » les cybercriminels pourraient tout à fait décider de mener des attaques à la chaîne sur les voyageurs ou les cargos, ou attaquer directement les aéroports pour perturber l’infrastructure nationale d’une importance majeure « .
Pour conclure le rapport, les chercheurs d’ImmuniWeb recommandent les meilleures pratiques que les aéroports peuvent adopter pour résoudre leurs problèmes de sécurité. Il est notamment conseillé de mettre en place un système de monitoring continu de sécurité, capable de détecter n’importe quelle anomalie, tentative d’intrusion, opération de phishing ou utilisation frauduleuse de mot de passe.
En outre, les aéroports devraient être pourvus d’équipes de cybersécurité veillant en permanence sur leurs assets numériques. Les programmes devraient aussi être déployés pour fournir aux équipes de sécurité une visualisation des surfaces d’attaque externes et du risque d’exposition. Une solution degestion de l’attaque de surface permettant de veiller sur le Dark Web et les répertoires de code est également souhaitable.
Les applications web et mobiles, et les APIs, ont besoin de programme de sécurité DevSecOps permettant de tester et de remédier à tout problème éventuel. Enfin, des audits approfondis doivent être menés auprès des vendeurs et des fournisseurs tiers.
Selon Kolochenko, » à l’heure où l’infrastructure numérique est intriquée et enchevêtrée avec différents tiers, une vue d’ensemble sur les assets numériques et la surface d’attaque est impérative pour assurer le succès d’un programme de cybersécurité « . Dans le cas contraire, » tous les efforts et les investissements seront malheureusement vains « .
- Partager l'article :