À l’heure où 97% des aéroports américains s’apprêtent à accueillir la reconnaissance faciale, une étude édifiante publiée par ImmuniWeb révèle que parmi les 100 plus grands aéroports internationaux, seulement trois d’entre eux disposent d’un niveau de cybersécurité suffisant. Tous les autres présentent de graves failles qui mettent en péril leurs propres données, mais aussi celles de leurs passagers.

Seulement trois aéroports sont assez sécurisés

Les grands gagnants de cette étude sont les aéroports d’Amsterdam Schiphol aux Pays-Bas, d’Helsinki-Vantaa en Finlande et de Dublin en Irlande. Tous trois ont obtenu un score A+ en terme de cybersécurité selon les critères d’ImmuniWeb. Les chercheurs en charge de l’étude ont ainsi estimé que ces trois aéroports devraient “servir d’exemple non seulement pour l’industrie aéronautique, mais aussi pour tous les autres secteurs d’activité“.

Pour les 97 autres aéroports passés au crible, le constat est beaucoup moins glorieux. Tous s’appuient sur du code obsolète et 24% d’entre eux présentent des failles graves, connues et exploitables. De même, 25% d’entre eux n’ont pas de chiffrement SSL ou utilisent le SSLV3 qui est déjà obsolète. Enfin, pour ne rien arranger, 76% des aéroports étudiés ne sont pas conformes aux normes RGPD, ni aux normes de sécurité des données pour les cartes de paiement.

Les applications concernées et des données sensibles exposées sur le Dark Web

Les applications mobiles des aéroports ne sont pas épargnées, bien au contraire. Les chercheurs en ont analysé 36 d’entre elles et le constat est alarmant. Toutes sans exception présentent au moins deux failles connues et font appel, au minimum, à cinq logiciels frameworks externes. En moyenne, les chercheurs ont également détecté 15 problèmes de sécurité ou de respect de la vie privée par application, et ont pu constater que 33,7% d’entre eux ne chiffrent pas les communications sortantes. Sur l’ensemble des applications examinées, ce sont donc plus de 500 problèmes de sécurité et de confidentialité qui ont été trouvés.

Les chercheurs ont également cherché du côté dark web et là encore, il y a de quoi s’inquiéter. En effet, 66% des aéroports examinés seraient exposés d’une façon ou d’une autre sur des forums et des marchés du dark web. Parmi eux, 13 aéroports présentent des fuites de données jugées critiques (passeports, dossiers financiers, mots de passe pour les systèmes de production, etc). Enfin, l’étude révèle que 3% des aéroports stockent des informations sensibles sur un cloud public ne disposant d’aucune protection.

Comment se protéger ?

Pour Ilia Kolochenko, PDG d’ImmuniWeb, les résultats obtenus par cette étude sont extrêmement inquiétants. Il déclare ainsi :

Vu le nombre de personnes et d’organisations qui confient leurs données et leurs vies aux aéroports internationaux tous les jours, ces résultats sont plutôt alarmants. Étant un voyageur régulier, je préfère voyager via des aéroports qui se soucient de la cybersécurité.

Mais alors, comment se protéger au mieux lorsque l’on n’a pas le choix ? D’abord, veillez à saisir le moins d’informations personnelles possibles sur les sites web des aéroports. Aussi, évitez à tout prix les applications développées par ces derniers. Malheureusement, à l’heure actuelle, il est difficile de faire plus. En réalité, les solutions se trouvent plutôt du côté des aéroports qui se doivent, pour leur sécurité comme celle de leurs passagers, de corriger toutes les failles mentionnées dans cette étude.