En bref

• Le 20 septembre 2025, les principaux aéroports de Bruxelles, Berlin et Londres-Heathrow ont été frappés par une attaque par rançongiciel.
• Le groupe de rançongiciel Everest a revendiqué l’attaque, visant un fournisseur tiers clé : Collins Aerospace (RTX).
• Plus de 50 Go de données sensibles et de listes d’accès sont menacés de publication si les demandes de rançon ne sont pas satisfaites.
• L’attaque a perturbé la logistique et les systèmes de sécurité des aéroports, provoquant des retards généralisés et un chaos opérationnel.
• Cet événement met en lumière la menace croissante qui pèse sur les infrastructures critiques à travers les “attaques sur la chaîne d’approvisionnement”.

Quand le tarmac devient hostile

Imaginez le bourdonnement matinal d’un aéroport européen : des passagers passent la sécurité, des manutentionnaires préparent le prochain vol. Soudain, les écrans s’éteignent, les horaires se figent, et une panique numérique se propage dans les terminaux. Ce n’est pas une scène d’un thriller cybernétique, mais bien la réalité qui s’est déroulée dans certains des aéroports les plus fréquentés d’Europe en septembre 2025.

Le coupable : Everest, un groupe de rançongiciel notoire qui hante les recoins numériques d’Internet depuis 2020. Leur dernière attaque a paralysé les opérations aéroportuaires à Bruxelles, Berlin et Londres-Heathrow, soulignant à quel point notre monde interconnecté est devenu vulnérable.

Casser le maillon faible de la chaîne d’approvisionnement

Contrairement à une attaque frontale directe sur les systèmes des aéroports, Everest a visé une cible plus vulnérable : Collins Aerospace, un géant de la technologie aéronautique et un fournisseur crucial pour les aéroports et compagnies aériennes. En pénétrant les réseaux de Collins, les attaquants ont obtenu un accès en coulisses à l’infrastructure numérique de plusieurs aéroports - une attaque classique sur la chaîne d’approvisionnement. C’est comme s’infiltrer dans un concert en subtilisant le badge du régisseur son, plutôt qu’en forçant l’entrée principale.

Une fois infiltré, Everest a lancé sa manœuvre signature : la double extorsion. Non seulement ils verrouillent les fichiers critiques par chiffrement, mais ils menacent aussi de divulguer des données sensibles - bases de données, communications internes, listes d’accès FTP - à moins que leur rançon ne soit payée. Des captures d’écran publiées sur le portail dark web d’Everest narguaient les victimes avec des comptes à rebours et des aperçus des informations volées, augmentant la pression.

Un schéma d’escalade

Les tactiques d’Everest ne sont pas nouvelles, mais leur focalisation sur l’aviation et la défense marque une escalade inquiétante. Le groupe a déjà ciblé des agences gouvernementales, la santé et des infrastructures critiques, visant toujours des secteurs où l’arrêt des activités coûte cher et où le risque de réputation est élevé. En 2021, une stratégie similaire du gang REvil avait paralysé le géant de la transformation de la viande JBS, tandis que l’attaque contre Colonial Pipeline la même année avait montré comment une seule faille pouvait déstabiliser des économies entières.

L’aviation, avec sa dépendance à un réseau de fournisseurs et à la logistique en flux tendu, est particulièrement exposée. Comme l’a un jour averti l’expert en cybersécurité Ciaran Martin : « Vous n’êtes aussi fort que votre fournisseur le plus faible. » Le piratage des aéroports européens en est une étude de cas.

Dévoiler une menace croissante

L’attaque d’Everest s’inscrit dans une vague plus large de campagnes de rançongiciel exploitant la nature complexe et interconnectée des infrastructures modernes. Ces cybercriminels ne sont plus des loups solitaires ; ils opèrent comme des entreprises de l’ombre, avec tactiques de relations publiques, équipes de négociation et même service client. Leurs attaques sont minutieusement planifiées et orchestrées, souvent en tirant parti de tensions géopolitiques ou de dépendances de marché pour maximiser leur influence.

Les experts avertissent que de tels incidents devraient se multiplier, les infrastructures critiques - transport, énergie, santé - restant des cibles de choix. Les mesures de défense évoluent, mais pour l’instant, le tarmac numérique reste un champ de bataille.

WIKICROOK

• Rançongiciel : Un rançongiciel est un logiciel malveillant qui chiffre ou verrouille des données, exigeant un paiement des victimes pour restaurer l’accès à leurs fichiers ou systèmes.
• Attaque sur la chaîne d’approvisionnement : Une attaque sur la chaîne d’approvisionnement est une cyberattaque qui compromet des fournisseurs de logiciels ou de matériels de confiance, propageant des malwares ou des vulnérabilités à de nombreuses organisations en même temps.
• Double extorsion : La double extorsion est une tactique de rançongiciel où les attaquants chiffrent les fichiers et volent aussi des données, menaçant de les divulguer si la rançon n’est pas payée.
• FTP (File Transfer Protocol) : Le FTP est un protocole qui permet aux utilisateurs de transférer des fichiers entre ordinateurs ou serveurs via un réseau, couramment utilisé pour la gestion de sites web.
• Dark Web : Le Dark Web est la partie cachée d’Internet, accessible uniquement avec des logiciels spéciaux, où se déroulent souvent des activités illégales et où l’anonymat est garanti.