Autopsie d'une cyberattaque

Choix de la cible

Collins Aerospace, filiale du groupe RTX, propose la solution ARINC MUSE (Multi-User System Environnement) une implémentation CUPPS (Common Use Passenger Processing System) permettant à plusieurs compagnies aériennes différentes de partager kiosques, comptoirs et portes d’embarquement dans les aéroports.

Dans le monde, ce système est utilisé par 300 compagnies aériennes sur une centaine d’aéroports de grande envergure.

Enfin, contrairement aux Passenger Service Systems (PSS) qui gèrent la réservation et la billetterie, MUSE orchestre le flux physique des passagers au sol, rendant son fonctionnement vital pour l’exploitation aéroportuaire.

La paralysie, même partielle, de ce logiciel, occasionne un blocage rapide des passagers dans leur file d’attente, et donc des vols annulés en cascade, ce qui perturbera gravement le transport aérien, au minimum à l’échelle d’un continent.

La cible était donc particulièrement bien choisie.

Où, quand et comment ?

Déroulement de la cyberattaque, selon l'agence de l'Union européenne pour la cybersécurité (ENISA).

1. Le vendredi 19 septembre 2025, 22h45 GMT : un premier point d’entrée est établi depuis le centre de données européen de Cork (Irlande).

   
   

2. Infection initiale via des courriels de phishing déguisés en mises à jour de firmware provenant de RTX, soit la maison mère de Collins Aerospace.

3. Exploitation d’une vulnérabilité critique (CVSS 9.8) dans la passerelle API de MUSE pour déployer le ransomware HardBit.

4. Ce niveau de vulnérabilité est quasi maximal, car l’échelle est numérotée de 1 à 10.

5. Mouvement latéral à travers les couches d’authentification fédérée, compromission de serveurs supplémentaires et cryptage des composants clés de la plateforme.

6. Tentatives de nettoyage répétées sans succès, en raison de la persistance du ransomware et de sa capacité à se réinstaller automatiquement après chaque rétablissement partiel du système.

7. Le choix de la date, un vendredi, en soirée, ne doit rien au hasard : c’est à ce moment, très proche du début d’un week-end, que les passagers seront les plus nombreux, et les équipes de sécurité informatique en service minimal.

Le moment était donc, lui aussi, particulièrement bien choisi.

Aéroports directement affectés :

• Cork

• Dublin

• Londres Heathrow

• Bruxelles

• Berlin Brandenburg

Dès le 20 septembre au matin, le chaos opérationnel est maximal sur les cinq aéroports directement touchés : les bornes d’enregistrement, les systèmes de bagages et les portiques biométriques sont hors service.

• Plus de 300 vols retardés ou annulés sur la seule première journée.

• Des milliers de passagers sont contraints d’attendre dans les files d’enregistrement manuelles; beaucoup ont passé la nuit dans les couloirs, à cause de vols annulés.

• Le retour complet aux procédures papier (beaucoup plus lente) pour l’enregistrement, le dépôt des bagages et l’embarquement engendre un chaos opérationnel conséquent.

  
  

• Les coûts engendrés par une telle attaque ne sont pas encore connus, mais se chiffrent en dizaines de millions d’Euros, peut-être beaucoup plus, et ne seront sans doute jamais connus avec exactitude.

Qui ?

Les investigations dirigées par les autorités britanniques ont conduit à l’identification d'un groupe opérant le ransomware HardBit, actif depuis octobre 2022, et réputé pour adapter les montants de rançon aux polices d’assurance cybersécurité de ses victimes !

Un suspect d’une quarantaine d’années a été arrêté au Royaume-Uni ; il serait connecté à ce groupe criminel organisé spécialisé dans les attaques par rançongiciel.

Aucun lien direct avec un État-acteur n’a été confirmé à ce stade, la piste privilégiée restant celle d’un gang cybercriminel à but lucratif, bien qu’on ne puisse exclure que ce dernier ait été mandaté.

Origine géographique et communauté cybercriminelle

Les analyses de métadonnées et les habitudes linguistiques (notes de rançon en anglais, mais communications sur Tox, une messagerie décentralisée, auprès de locuteurs russophones) laissent penser que HardBit est ancré dans un écosystème cybercriminel d’Europe de l’Est.

Ce positionnement leur confère un terrain propice pour collaborer avec d’autres gangs sans crainte immédiate de poursuites locales, tout en gardant un profil bas pour limiter les enquêtes internationales.

Canaux de communication et négociation

Comme déjà évoqué, le groupe HardBit privilégie le service de messagerie instantanée décentralisé (et cryptée) Tox pour ses échanges, évitant les plateformes commerciales centralisées et traçables, puisque Tox fonctionne en mode peer to peer (P2P).

De cette façon, les cybercriminels négocient parfois la rançon directement avec la cible, sans passer par les assureurs en cybersécurité, adaptant leurs demandes au montant que la victime peut payer, sans exposer publiquement les détails de la police d’assurance ni de l’attaque.

Cette méthode permet plus facilement au « client » de passer la cyberattaque sous silence, voire de la dissimuler derrière un « problème technique d’origine logiciel » bien que ce ne fut pas le cas en l’espèce.

Pourquoi ?

Contrairement aux groupes hacktivistes où certains acteurs sont connus pour être sponsorisés par un État, HardBit ne diffuse jamais de manifeste et n’intègre aucune revendication sociopolitique dans ses attaques.

Sa seule idéologie connue est l'argent : maximiser le retour sur investissement tout en minimisant les frictions lors de la négociation et les risques de détection, ce qui est un comportement classique de ce genre de professionnels.

Organisation du groupe HardBit

Le groupe HardBit se définit comme un acteur de cybercriminalité financière, sans revendication politique ni idéologique. Il opère sur un modèle « ransomware-as-a-service » (RaaS) : une petite équipe de développeurs fournit le code malveillant et l’infrastructure, tandis qu’un réseau d’affiliés expérimenté s’occupe de la compromission des cibles et de la négociation des rançons.

• Les développeurs améliorent régulièrement le ransomware ( passphrase obligatoire, modules d’obfuscation, option « wiper », notamment ) pour empêcher l’analyse et renforcer la résilience de l’outil.

• Les affiliés utilisent des techniques variées (brute force RDP/SMB, spear-phishing, usurpation de mises à jour) pour obtenir un accès initial.

• Le modèle économique inclut une double extorsion : chiffrement des données et menaces d’attaques ultérieures, plutôt qu’une publication systématique dans le darkweb, ou sur un site spécialisé dans les fuites, façon Wikileaks.

Commandités ?

Plusieurs autorités européennes (Europol, EASA, National Crime Agency) ont envisagé l’éventualité qu’un acteur étatique ait pu mandater HardBit pour paralyser les aéroports européens, mais aucun élément concret n’a émergé, du moins publiquement.

L’enquête initiale semble privilégier des motivations à visée financière, sans preuve d’objectifs géopolitiques ou de directives politiques, sans que l’on puisse pour autant l’exclure, car ce genre d’opération par « proxy » laisse généralement peu de traces, surtout quand elle est exécutée par des professionnels.

Quelles parades directes ?

Sans être exhaustif faute de place, on peut quand même en citer quelques-unes, et, parmi elles, peut-être la plus importante de toutes, la conscience de représenter une cible de choix :

• La sensibilisation

Dans ce cas précis et lors de la partie finale, la plus simple des techniques, le Spear Phising, a permis de paralyser un système critique en quelques clics !

• Un calendrier de mise à jour

Aucune mise à jour d’un tel système ne doit avoir lieu sans une annonce préalable, de préférence un calendrier établi, et une authentification à plusieurs facteurs pour vérifier la provenance des sources.

• La redondance des systèmes + un DRP

  
  

Comme sur un avion, un système aussi vital devrait être cloné en décalage, en adéquation avec l’établissement d’un DRP (Disaster Recovery Plan) solide, incluant une sauvegarde immuable, hors ligne, avec écriture unique, des logiciels critiques.

Et indirectes ?

• L’audit logiciel approfondit

Sur le modèle de certaines blockchains, un logiciel critique doit être audité régulièrement par une entité externe spécialisée.

Une faille CVSS (Common Vulnerability Scoring System) notée 9.8 sur une échelle qui en compte 10 semble montrer que cela n’a pas été le cas.

• L’empreinte numérique

Une cyberattaque de cette envergure, comme le type de la cible, a certainement nécessité un important travail de préparation.

De tels actes préparatoires peuvent laisser des traces numériques, en particulier sur le DarkWeb, où des équipes spécialisées peuvent détecter ces échanges.

Conclusion

De telles cyberattaques ont des conséquences continentales, voire planétaires, car des centaines de vols annulés affectent les correspondances de milliers d’autres à destination du monde entier ou presque…

Et cela aurait pu être pire encore, car seule une poignée d’aéroports ont été directement touchés par Hardbit, alors que le même système ARINC MUSE est utilisé sur plus de 100 plateformes aéroportuaires dans le monde.

Enfin, cette cyberattaque, mise en parallèle avec de nombreuses autres, pourrait être partie intégrante d’une vaste campagne impliquant plusieurs groupes cybercriminels (possiblement parrainés par des États) et montre qu’aucun système n’est à l’abri d’une succession d’erreurs humaines, ici logicielles et comportementales.

Reste, et comme toujours, la prévention : sensibilisation et prise de conscience que, dans notre monde devenu numérique, une faille ZeroDay magistralement exploitée et quelques clics malencontreux peuvent mettre à mal nos systèmes vitaux, et provoquer un effet domino aux conséquences difficilement prévisibles, et encore moins chiffrables.

À méditer d'urgence lors de l’établissement du budget consacré à la cybersécurité des entreprises, et ce, peu importe leur taille, puisqu'il semble que même les groupes d'envergure internationale, aux enjeux stratégiques pourtant avérés, soient parfois aussi vulnérables que la PME du coin...