Depuis la fin juin 2025, le groupe de cybercriminels connu sous le nom de Scattered Spider a intensifié ses attaques contre le secteur aérien, ciblant à la fois des compagnies aériennes et leurs fournisseurs technologiques. Ce collectif de pirates, déjà célèbre pour avoir compromis de grandes entreprises du jeu et de l’assurance, comme MGM Resorts ou Caesars Entertainment, concentre désormais ses efforts sur les infrastructures critiques de l’aviation commerciale.
Origines et méthodes du groupe
Scattered Spider, également identifié sous les noms UNC3944 ou Starfraud, est un groupe réputé pour ses techniques avancées d’ingénierie sociale. Ses membres sont principalement de jeunes adultes situés aux États-Unis et au Royaume-Uni. Leur mode opératoire repose largement sur l'usurpation d'identité et la manipulation des équipes de support informatique (help desk), notamment par des appels téléphoniques simulant des demandes légitimes de réinitialisation de mots de passe ou d'ajout de nouveaux dispositifs d’authentification multifacteur (MFA).
Ce mode d’attaque, appelé vishing (phishing vocal), est renforcé par des techniques telles que le MFA bombing, où la victime est inondée de requêtes d’authentification jusqu’à ce qu’elle accepte par fatigue ou erreur. Une fois l’accès obtenu, les cybercriminels escaladent leurs privilèges pour atteindre les systèmes sensibles, exfiltrer des données ou déployer des rançongiciels.
Ces méthodes ont été largement documentées par des entreprises de cybersécurité comme Google Mandiant et Palo Alto Networks Unit 42, qui collaborent activement avec le FBI pour contrer cette menace croissante (Reuters, juin 2025).
Premières attaques confirmées dans le secteur aérien
En juin 2025, deux compagnies aériennes nord-américaines ont été directement affectées par des attaques attribuées à Scattered Spider. La première est Hawaiian Airlines, qui a confirmé avoir subi une intrusion affectant ses systèmes internes. Bien que les vols n’aient pas été perturbés, la compagnie a rapidement mobilisé ses équipes de cybersécurité et signalé l’incident aux autorités fédérales.
Peu après, WestJet, la seconde plus grande compagnie aérienne du Canada, a également été visée. Des limitations d’accès temporaires ont été observées sur son application mobile et ses services numériques, coïncidant avec une campagne active du groupe contre les systèmes d’accès internes. Les deux cas ont été rapportés par le Business Insider et confirmés par le FBI dans une alerte diffusée aux infrastructures critiques américaines.
Cibles stratégiques : pas seulement les compagnies, mais leurs fournisseurs
L’un des aspects les plus inquiétants des attaques récentes est la stratégie du groupe consistant à cibler les fournisseurs tiers et prestataires technologiques de l’industrie aérienne. En compromettant ces acteurs périphériques, souvent moins bien protégés, Scattered Spider parvient à pénétrer indirectement les réseaux des compagnies aériennes principales. Cela inclut notamment les sous-traitants en gestion des identités, les services cloud, et les prestataires de maintenance informatique.
Cette approche "par la chaîne d’approvisionnement" avait déjà été observée lors des attaques précédentes du groupe dans les secteurs des jeux et de l’assurance. Elle constitue aujourd’hui un vecteur d’intrusion majeur dans l’aérien, comme l’a noté l’analyse de CyberScoop.
Réactions des autorités et des entreprises
Le Federal Bureau of Investigation (FBI) a émis plusieurs alertes à destination des opérateurs du secteur aérien. Dans ses recommandations, le FBI insiste sur la nécessité de renforcer les processus d’identification des utilisateurs dans les centres d’assistance, de désactiver les plateformes de réinitialisation de mot de passe en libre-service non sécurisées, et de déployer une MFA résistante au phishing, telle que les clés FIDO2 ou les jetons matériels sécurisés.
Les experts de Google Mandiant ont quant à eux conseillé d’éduquer les équipes techniques à reconnaître les tactiques de manipulation, et de surveiller de manière proactive les requêtes anormales d’accès aux systèmes sensibles.
En parallèle, les compagnies aériennes renforcent leur coopération avec les organismes gouvernementaux et les partenaires privés pour limiter les risques. Des exercices de simulation de crise sont menés dans plusieurs hubs aériens nord-américains, et les investissements en cybersécurité sont revus à la hausse selon un rapport de AINvest.
Un groupe au passé déjà très actif
Avant de viser les compagnies aériennes, Scattered Spider avait déjà fait parler de lui pour ses attaques contre des acteurs majeurs du jeu (MGM Resorts, Caesars), du retail (Marks & Spencer, Harrods) et de l’assurance (Aflac, Erie). Le groupe se distingue par sa capacité à s’adapter rapidement à ses cibles et à utiliser les ressources du Web social pour contourner les mesures classiques de sécurité.
Plusieurs de ses membres ont été inculpés aux États-Unis entre 2023 et 2024, bien que le collectif dans son ensemble reste actif et capable de se réorganiser. Le rapport de NY Post souligne l’extrême mobilité et l’aspect décentralisé du groupe, qui le rend difficile à démanteler.
En résumé
La montée en puissance du groupe Scattered Spider dans le secteur aérien constitue une alerte rouge pour l’ensemble de l’industrie du transport. Leur capacité à exploiter les failles humaines via le social engineering, à cibler la chaîne logistique technologique, et à compromettre des systèmes critiques place les compagnies aériennes dans une position vulnérable. Si les attaques recensées à ce jour n'ont pas entraîné de perturbations majeures des vols, elles révèlent un potentiel de nuisance considérable.
Pour les contrer efficacement, les compagnies aériennes et leurs partenaires doivent adopter une stratégie de cybersécurité défensive complète, intégrant technologie, formation humaine, et coopération internationale. Le cas de Scattered Spider est emblématique d’un nouveau type de cybermenace polymorphe et persistante, capable de déstabiliser des infrastructures essentielles à l’échelle mondiale.
Articles
Aucun commentaire:
Enregistrer un commentaire