Cyberattaque à l'AIB : que s'est-il passé et quels sont les risques potentiels ?

Plutôt que les informations habituelles liées aux correspondances, les écrans de l'aéroport Rafic Hariri ont affiché dimanche soir un message à l'attention du Hezbollah. Simultanément, les tapis de bagage ont également dysfonctionné tandis que plusieurs usagers rapportent avoir reçu de faux messages de la compagnie aérienne Middle East Airlines, les invitant à suivre des instructions des forces de sécurité. Pas question de mauvaise blague ici, mais d'une attaque informatique.

Selon Imad Elhajj, professeur d'ingénierie informatique à l'AUB et spécialiste en cybersécurité, le mode opératoire complexe serait un indice que l'attaque a été orchestrée par un groupe compétent et organisé, et non par des individus isolés comme le laissaient entendre les premiers soupçons. Le message affiché sur les écrans montrait les logos d'un groupe extrémiste chrétien de Beyrouth, les Soldats du Seigneur (Jnoud el-Rabb) ainsi que d'une page sur les réseaux sociaux appelée « Sa7eb al-Kalam », qui critique à tout va le Hezbollah.

Sur le réseau X, Saheb el-Kalam a partagé des photos des écrans piratés à l'AIB. Dans une vidéo publiée sur la page Facebook des Soldats du Seigneur, deux hommes ont en revanche démenti toute implication de leur groupe dans la cyberattaque à l'AIB, accusant les personnes derrière ce piratage de chercher à « semer la dissension ».

M. Elhajj a répondu aux questions de L'Orient-Le Jour.

Que s'est-il passé, d'un point de vue technique, dimanche soir ?

Ce piratage nous apprend plusieurs choses, tout d'abord, et c'est surprenant, c'est soit que le système de ceinture (le système BHS pour les bagages, NDLR) est connecté au monde extérieur, soit que les attaquants ont pu passer d'un système informatique à l'autre (entre celui de l'affichage et celui des bagages, NDLR), puis ont attendu le bon moment pour déclencher l'attaque, car les attaques sur les deux systèmes semblent s'être produites en même temps, ou du moins à deux moments très rapprochés. Bien sûr, nous ne le saurons pas tant que nous n'aurons pas accès aux détails de l'enquête.

Lire aussi

Comment la tech israélienne est en train de laisser le Liban sur le carreau

Une autre possibilité serait un sabotage interne, quelqu'un infectant le réseau localement ou par le biais d'une attaque par hameçonnage. Mais seule l'enquête permettra d'en avoir le cœur net.

Que cela nous apprend-il sur les auteurs de l'attaque ?

Le déplacement latéral (le fait de passer d'un système informatique à l'autre) effectué par les attaquants laisse supposer qu'ils sont bien formés, il n'est pas simple de compromettre simultanément deux systèmes. Je soupçonne que le système de bagages n'a rien à voir avec les systèmes d'écran ou de réservation, et qu'ils ne fonctionnent même pas sur les mêmes serveurs. De plus, les écrans ont été déphasés, ils n'ont pas seulement dysfonctionné, mais ils ont réussi à afficher des images, alors que le système de ceinture s'est simplement arrêté.

La grande question, c'est de savoir de quelle quantité de données les attaquants ont pu s'emparer, sachant que les aéroports ont accès à un grand nombre de données personnelles sur leurs clients et que cela pourrait avoir des conséquences plus importantes que les dysfonctionnements que l'on a pu observer à l'aéroport.

L'enquête pourra nous donner plus d'informations sur l'identité des attaquants, les charges utiles, les identifiants, etc. Nous saurons ainsi s'il s'agit d'un acteur étatique, d'une organisation criminelle à but lucratif ou, ce qui est le moins probable, d'un petit groupe agissant en interne. Le fait de lier l'attaque à un autre groupe pourrait être une stratégie pour monter des groupes libanais les uns contre les autres.

Peut-on envisager un piratage effectué par Israël ?

On ne saura pas qui a organisé cette attaque avant qu'une enquête approfondie ne soit menée. Mais on ne peut pas écarter la piste israélienne. Le Liban fait face à une entité qui est une véritable superpuissance dans ce domaine et dont beaucoup d'entreprises liées à la cybersécurité entretiennent des liens très étroits avec l'armée.

Dans mon domaine, je ne dispose pas d'indicateurs pour évaluer l'évolution du nombre d'attaques informatiques lancées, mais tous les retours que j'ai pointent vers une augmentation depuis le 7 octobre.