Espionnage : Airbus cible d'une série de cyberattaques via ses sous-traitants
26 septembre 2019 à 11h28 par Brice Vidal
L'AFP a pu dessiner les contours et les objectifs d'une récente série d'offensives
Airbus a été ces derniers mois la cible de plusieurs attaques informatiques lancées en passant par des sous-traitants du constructeur, a appris l'AFP en enquêtant auprès de plusieurs sources sécuritaires, qui soupçonnent ces opérations d'espionnage industriel d'être pilotées depuis la Chine.
L'AFP a pu dessiner les contours et les objectifs d'une récente série d'offensives, en interrogeant plus d'une demi-douzaine de sources proches du dossier s'exprimant sous couvert d'anonymat.
De sources concordantes, ces cyberattaques ont tour à tour visé le groupe français de conseil en technologie Expleo (ex Assystem), le motoriste britannique Rolls-Royce, et deux sous-traitants français d'Airbus que l'AFP n'a pas identifiés.
Les attaques contre l'avionneur européen - fleuron industriel considéré par l'Agence gouvernementale française de sécurité informatique Anssi comme un "Opérateur d'importance vitale" (OIV) - sont monnaie courante, et leurs motivations et modes opératoires sont très variés.
Mais au cours des douze derniers mois, "quatre attaques majeures" ont visé le géant européen de l'aéronautique via ses sous-traitants, a déclaré à l'AFP l'un des ces interlocuteurs.
VPN ciblé
L'attaque contre Expleo a été découverte "à la fin de l'année 2018", mais l'infection était bien plus ancienne. "Très sophistiquée, elle ciblait le VPN qui connectait l'entreprise à Airbus", explique une source à l'AFP.
Un VPN (virtual private network) est un réseau privé, chiffré, qui permet à plusieurs entités de communiquer de manière sécurisée. Réussir à pénétrer un VPN ouvre théoriquement les portes de toutes les parties du réseau.
Les autres attaques ont suivi un même schéma: attaquer le sous-traitant, puis entrer chez le géant de l'aéronautique en se faisant passer pour lui, profitant de ses accès dans le système Airbus.
Airbus, lui, a seulement annoncé fin janvier un cybervol de données personnelles de ses collaborateurs via sa division aviation commerciale.
Selon une des sources interrogée par l'AFP, la première des infections a été détectée dans la filiale britannique d'Assystem et chez Rolls Royce, permettant de mettre au jour d'autres attaques chez Assystem France et Airbus.
"Les très grandes entreprises (comme Airbus, ndlr), sont très bien protégées, c'est très dur de les pirater, alors que des plus petites entreprises vont être une meilleure cible", explique Romain Bottan, chargé de la sécurité de BoostAerospace, groupement numérique de la filière aéronautique, qui a lancé l'initiative Aircyber pour tenter de renforcer la cybersécurité des petites et moyennes entreprises (PME).
Protéger la myriade de sous-traitants est une mission très complexe. "Les portes sont fermées alors ils passent par les fenêtres, et quand les fenêtres seront fermées, ils passeront par la cheminée", résume Loïc Guézo, directeur de la stratégie cybersécurité chez Proofpoint, entreprise californienne de cybersécurité.
Interrogé par l'AFP, Expleo "ne confirme ni n'infirme" les informations de l'AFP. Sollicités par l'AFP, Airbus et Rolls Royce ne commentaient pas dans l'immédiat.
Mais que cherchent ces pirates dans les entrailles informatiques d'Airbus ?
De sources concordantes, les attaquants ont notamment ciblé des documents techniques de certification, une procédure officielle permettant d'assurer que les différents éléments d'un avion répondent aux exigences de sécurité. Le magazine Challenges avait révélé en février que l'intrusion reconnue par Airbus ciblait ce type de documents.
D'après trois sources interrogées par l'AFP, certaines informations dérobées portaient également sur la motorisation de l'avion de transport militaire A400M, qui dispose de turbopropulseurs parmi les plus puissants au monde.
Selon une de ces sources, les cyberpirates semblent aussi s'intéresser à la motorisation du gros porteur A350, ou encore aux informations relatives à l'avionique, l'ensemble des systèmes électroniques aidant au pilotage.
Attribution difficile
Les sources consultées par l'AFP restent prudentes et refusent d'attribuer formellement cette série d'attaques, tout en s'accordant à dire que les soupçons pèsent sur des hackers chinois.
La Chine cherche à mettre au point depuis plusieurs années son premier moyen-courrier, le C919, mais peine à le faire certifier. Par ailleurs, motorisation et avionique sont des "domaines dans lesquels la recherche et développement chinoise est faible", souligne une source proche du dossier,alors même que Pékin entend à l'avenir mettre au point avec les Russes un long-courrier, le C-929, qui sera sur le même créneau que l'A350.
Pour autant, dans le domaine des cyberattaques, les spécialistes sont en règle générale très réticents à désigner les auteurs, difficiles à démasquer. "Ce qu'on appelle une attribution, c'est définir les propriétés communes d'un attaquant en termes essentiellement techniques. Or sur des sujets techniques, on sait qu'il peut y avoir beaucoup de falsification", souligne M. Guézo.
Il rappelle par exemple que les "révélations de Wikileaks, Vault7 / Marble Framework de 2017, ont mis sur la place publique des outils de brouillage de piste informatique de la CIA - mais les autres pays ou criminels font sûrement pareil - lui donnant la capacité d'attaquer en laissant des indices dans le logiciel pouvant faire penser à une provenance russe. Encore plus habile, il permet de laisser penser que l'on a à faire à un logiciel chinois dont les concepteurs auraient tenté de se faire passer pour des Russes".
Plusieurs sources ont mentionné un groupe lié aux autorités chinoises, identifié sous le nom de code APT10, tandis qu'une autre, tout en pointant vers Pékin, a estimé peu probable leur responsabilité "en raison du mode opératoire employé".
APT10 est un groupe de cyberespionnage chinois lié, selon Washington, aux services de renseignement de Pékin, tant dans les domaines militaires que de l'intelligence économique.
D'après une source industrielle travaillant dans la cybersécurité, il existe également un groupe de hackers chinois spécialisés dans l'aéronautique, la branche régionale du Jiangsu (Est) du ministère de la sécurité de l'Etat (MSS), le JSSD.
"Le coeur d'activité du JSSD est l'aéronautique", avec des "gens qui comprennent le langage, les logiciels et les codes de l'aéronautique", selon elle.
En 2018, la justice américaine a inculpé plusieurs membres présumés du JSSD qu'elle soupçonne d'avoir piraté, au moins entre 2010 et 2015, les entreprises américaine General Electric et française Safran pour leur dérober des données sur un turboréacteur d'aviation civile, alors "qu'au même moment, une entreprise aéronautique chinoise tentait de développer un moteur similaire pour un avion fabriqué en Chine et ailleurs", selon le ministère.
Face aux attaques, Airbus est tiraillé entre la volonté de se préserver et la prudence de mise pour ne pas se froisser avec les autorités chinoises et se priver d'un marché gigantesque où elle a installé une chaîne d'assemblage. D'après une source consultée par l'AFP, certains messages ont été délivrés à Pékin par des voies détournées pour signifier le mécontentement en France.
Talon d'Achille
Au-delà de l'épineuse question de leur attribution, ces attaques montrent le talon d'Achille cyber d'Airbus.
"L'industrie aéronautique est le secteur qui souffre le plus de cyberattaques, principalement motivées par l'espionnage ou la recherche d'argent vu les bénéfices de cette industrie", résume Romain Bottan.
Outre le siphonnage d'informations sensibles, les attaques peuvent permettre d'entraver la production en ciblant les fournisseurs exclusifs de certaines pièces, représentent des goulets d'étranglement industriel. Des "cases faibles" sur l'échiquier qui, une fois occupées, mettent à mal Airbus.
"Si quelqu'un veut ralentir la production, il va rapidement identifier quel sous-traitant est critique, les single source, uniques dans leur pièce", dont la paralysie va entraîner "des retards dans la chaîne d'approvisionnement", explique l'expert.
Ainsi de l'équipementier belge Asco, attaqué au printemps par un rançongiciel qui l'a complètement paralysé. Une source, qui soupçonne des assaillants russes, explique que l'entreprise a préféré saborder son système, "mais il leur a fallu un mois pour tout faire repartir", avec l'aide d'Airbus pour qui l'attaque a eu des conséquences sur ses cadences de production.
Un problème dont le gouvernement français a conscience. "L'actualité nous a rappelé au cours de l'année 2019 que des groupes industriels peuvent être l'objet eux aussi de cyberattaques qui visent non pas seulement des données personnelles de leurs employés mais très directement la documentation technique des équipements que ceux-ci conçoivent", a déclaré début septembre la ministre des Armées Florence Parly, dans une référence voilée à Airbus.
"En réalité c'était un sous-traitant de ce groupe qui a été ciblé, ce qui nous montre l'importance qui vise chaque chaînon de notre défense nationale", a-t-elle souligné, en annonçant la prochaine "signature d'une convention entre (son) ministère et huit grands industriels de défense qui établira des objectifs partagés et de premières actions concrètes en matière de cybersécurité".
Article Agence France Presse.