Une étude démontre que les sites web et les applications des aéroports sont très mal protégés : sur 100 aéroports testés, 97 d'entre eux ne sécurisent pas les données des passagers.

Par K.A

Une équipe de chercheurs en cybersécurité de ImmuniWeb a analysé la sécurité des sites web et applications de 100 des plus grands aéroports à travers le globe.

Au total, 97 des 100 aéroports présentaient des risques qui pourraient permettre à des intrus de compromettre leurs équipements et voler les informations confidentielles des voyageurs. Seuls les aéroports d'Amsterdam Schiphol aux Pays-Bas, Helsinki-Vantaa en Finlande et Dublin en Irlande offrent une sécurité optimale.

Les sites web des aéroports sont particulièrement problématiques, puisque 97% s'appuient sur du code obsolète, dont 24% d'entre eux contiennent des failles connues et graves.

Les trois quarts des sites ne respectent ni le règlement général sur la protection des données (RGPD) ni la norme de sécurité des données pour les cartes de paiement (PCI DSS). Près d'un quart n'utilise aucun chiffrement pour la transmission des données, ou alors la version 3 du protocole SSL qui est obsolète.

«Vu le nombre de personnes et d'organisations qui confient leurs données aux aéroports internationaux tous les jours, ces résultats sont plutôt alarmants», a commenté Ilia Kolochenko, PDG et fondateur d'ImmuniWeb.

À défaut de pouvoir choisir l'un des trois aéroports qui ont eu la note maximale, mieux vaut faire attention à saisir le moins d'informations possibles sur le site web d'un aéroport, et éviter complètement leurs applications mobiles.

Du côté des applications mobiles, les résultats sont encore pires. Toutes les applications sans exception font appel à au moins 5 infrastructures logicielles externes et contiennent au moins 2 failles connues. En moyenne, les chercheurs ont découvert pas moins de 15 problèmes de sécurité ou de respect de la vie privée, et un tiers ne chiffre pas les communications sortantes.

Les chercheurs ont aussi utilisé l'intelligence artificielle pour parcourir «le Dark web», en analysant le contenu des forums et marchés à la recherche de données confidentielles qui auraient été volées, en exploitant une faille. Ils y ont découvert des données sensibles en provenance de deux tiers des aéroports inspectés. Pour 13 d'entre eux, les chercheurs ont classé les fuites comme étant de niveau critique puisqu'on peut trouver des registres financiers, des mots de passe des systèmes, etc.