Cyberattaque : vol de données chez SITA

La Société internationale de télécommunication aéronautique (SITA) a publié, ce jeudi 4 mars, un communiqué de presse faisant état d’une cyberattaque ayant conduit à « un incident de sécurité, impliquant certaines données passagers qui étaient stockées sur les serveurs de Sita Passenger Service System (US) Inc. ». Celui-ci, appelé SITA PSS, « opère des systèmes de traitement des passagers pour des compagnies aériennes ».

SITA n’indique pas là précisément quand l’attaque est survenue ni quand elle a été découverte. Elle précise simplement avoir eu « confirmation du sérieux de l’incident de sécurité des données le 24 février 2021 » et, à ce moment-là, « contacté les clients SITA PSS concernés et toutes les organisations liées ».

Dans son communiqué, SITA se garde bien d’évoquer le point d’entrée des attaquants ou encore toute défaillance de sa part. Au contraire, elle exprime des « préoccupations relatives aux menaces de sécurité » induites par la pandémie de Covid-19, et des cybercriminels « devenus plus sophistiqués et actifs ». Pour elle, l’attaque dont elle a été victime était « hautement sophistiquée ».

Jointe par e-mail, la directrice monde de la communication de SITA, Dr. Edna Ayme-Yahil, a précisé que « aucun ransomware n’a été détecté, et qu’aucune demande de rançon n’a été reçue par SITA ». Elle souligne en outre que les investigations continuent et se refuse à « spéculer publiquement sur les attaquants potentiels ou leurs motivations ».

Le moteur de recherche spécialisé Shodan pourrait bien avoir une piste. Ces données font ressortir un hôte Windows Server 2012R2 ayant exposé son service RDP jusqu’à la fin du mois de janvier. Et cela sans authentification au niveau de la couche réseau (NLA). Qui plus est, Shodan a identifié ce système comme affecté par la vulnérabilité CVE-2019-0708 dans le courant du mois de décembre dernier.

pic.twitter.com/db19ga5f2f

— Faizal Pahmee (@faizalpahmee) March 5, 2021

Dite Bluekeep, cette vulnérabilité a suscité des alertes répétées en 2019. Microsoft propose des correctifs pour celle-ci depuis la mi-mai de cette année-là, y compris pour Windows XP et Windows Server 2003. L’éditeur a pris le sujet tellement au sérieux qu’il est allé jusqu’à faire un parallèle avec Eternalblue, rappelant qu’il ne s’était écoulé que deux mois entre la publication des correctifs et l’épisode WannaCry.

De fait, l’exploitation de Bluekeep peut avoir une portée considérable : la vulnérabilité permet d’exécuter à distance du code arbitraire sur des systèmes affectés et peut être utilisée dans le cadre d’un maliciel de type ver.

Plusieurs compagnies aériennes ont commencé à alerter leurs clients concernés, dont plusieurs du réseau Star Alliance, à l’instar de Lufthansa et d’Austrian Airlines. Mais cela ne s’arrête pas là : Finnair, Malaysia Airlines ou encore Singapore Airlines, « pour certains membres du programme KrisFlyer », notamment, ont également émis des notifications.