Une étude démontre que les sites web et les applications des aéroports sont très mal protégés. Sur 100 aéroports testés, 97 d'entre eux ne sécurisent pas les données des passagers, mais aussi leurs propres documents comme des mots de passe et des registres comptables. Un conseil : ne jamais utiliser d'application mobile.
au sommaire
Une équipe de chercheurs en cybersécurité de chez ImmuniWeb a analysé la sécurité des sites web et applicationsapplications de cent des plus grands aéroports à travers le globe. Les résultats sont pour le moins édifiants. Au total, 97 des 100 aéroports présentaient des risques qui pourraient permettre à des intrus de compromettre leurs équipements et voler les informations confidentielles des voyageurs. Seuls les aéroports d'Amsterdam Schiphol aux Pays-Bas, Helsinki-Vantaa en Finlande et Dublin en Irlande offrent une sécurité suffisante aux voyageurs.
Les sites web des aéroports sont particulièrement problématiques, puisque 97 % s'appuient sur du code obsolète, dont 24 % d'entre eux contiennent des failles connues et graves. Les trois quarts des sites ne respectent ni le règlement général sur la protection des donnéesrèglement général sur la protection des données (RGPD) ni la norme de sécurité des données pour les cartes de paiement (PCI DSS). Près d'un quart n'utilise aucun chiffrement pour la transmission des données, ou alors utilise la version 3 du protocole SSL qui est obsolète.
Toutes les applications mobiles sont vulnérables
Du côté des applications mobilesmobiles, les résultats sont encore pires. Toutes les applications sans exception font appel à au moins cinq infrastructures logicielles externes et contiennent au moins deux failles connues. En moyenne, les chercheurs ont découvert pas moins de 15 problèmes de sécurité ou de respect de la vie privée, et un tiers ne chiffre pas les communications sortantes.
Les chercheurs ont aussi utilisé l'intelligence artificielle pour parcourir l'internet « underground », en analysant le contenu des forums et marchés du dark web à la recherche de données confidentielles qui auraient été volées, par exemple en exploitant une faille. Ils y ont découvert des données sensibles en provenance de deux tiers des aéroports inspectés. Pour 13 d'entre eux, les chercheurs ont classé les fuites comme étant de niveau critique puisqu'on peut trouver des registres financiers, des mots de passe des systèmes, etc.
De nombreuses données exposées par simple négligence
Les informations privées des aéroports ne sont pas uniquement obtenues grâce à des failles, puisque leurs systèmes sont aussi exposés à cause d'erreurs humaines. La plupart partagent ainsi leur code sourcecode source sur des sites collaboratifs comme GitHub, mais 87 % n'ont pas correctement expurgé toutes les données confidentielles au préalable. Deux cent vingt-sept des problèmes détectés, qui concernent 59 aéroports, sont de niveau critique (mots de passe, clés APIAPI, etc.). Enfin, trois des aéroports conservent des informations privées dans un hébergement public sans la moindre protection.
Ilia Kolochenko, P.-D.G. et fondateur d'ImmuniWeb, a donné son propre avis sur ces résultats. « Vu le nombre de personnes et d'organisations qui confient leurs données et leurs vies aux aéroports internationaux tous les jours, ces résultats sont plutôt alarmants. Étant un voyageur régulier, je préfère voyager via des aéroports qui se soucient de la cybersécurité. » À défaut de pouvoir choisir l'un des trois aéroports qui ont eu la note maximale, mieux vaut faire attention à saisir le moins d'informations possibles sur le site web d'un aéroport, et éviter complètement leurs applications mobiles.
