Le San Francisco International Airport a fait savoir officiellement le 7 avril, que deux de ses sites internet ont été la cible d’une cyberattaque. Qu’un aéroport soit pris pour cible n’est pas une surprise. Ces hubs souvent stratégiques n’ont pas, en écrasante majorité, un niveau de cybersécurité à la hauteur de leur importance.

Des salariés de l’aéroport ont pu se faire voler leurs identifiants

L’attaque s’est produite dans le courant du mois de mars 2020. Des pirates ont inséré un code informatique malveillant dans deux des sites internet de l’aéroport de San Francisco, SFOConnect.com et SFOConstruction.com.

Selon la note émise par les équipes de cybersécurité du lieu, le but des hackers était de « voler les identifiants de connexions de certains utilisateurs ». Les utilisateurs en question étant exclusivement des salariés de l’aéroport ou des contractuels travaillant pour lui.

Une catégorie bien précise semble avoir été ciblée par les pirates : les utilisateurs des sites s’étant connectés sur un autre réseau que celui de l’aéroport depuis Internet Explorer ou avec un ordinateur personnel fonctionnant sous Windows.

Les employés ne doivent plus utiliser leurs précédents identifiants, même sur d’autres sites

La note explique que des mesures ont été prises rapidement. Les sites ont été mis hors ligne et le 23 mars une réinitialisation forcée des mots de passe a été opérée. La note ne précise pas si les hackers ont atteint leur objectif. En volant identifiant et mot de passe, il pourrait accéder au réseau interne de l’aéroport. Les deux sites sont désormais opérationnels.

Le San Francisco International Airport a prévenu ces employés qu’ils devaient, en plus du changement d’identifiant imposé sur leur réseau, les modifier sur les autres sites où les employés seraient susceptibles de réutiliser les mêmes mots de passe.