La base de données des candidatures de l’agence des Nations Unies piratée et 42 000 dossiers volés

Lucas Morel

L’agence, qui soutient le fonctionnement de l’aviation civile internationale, a déclaré que le trafic aérien était sûr, mais un analyste a émis des doutes à ce sujet.

L’Organisation de l’aviation civile internationale (OACI) a déclaré mardi qu’elle « enquêtait activement sur les informations faisant état d’un incident potentiel de sécurité de l’information qui serait lié à un acteur menaçant connu pour cibler les organisations internationales », et a initialement conclu qu’« environ 42 000 enregistrements de données de candidatures de recrutement provenant de Avril 2016 à juillet 2024 » ont été volés.

Dans sa déclaration initiale, l’OACI a déclaré : « Nous pouvons confirmer que cet incident est limité à la base de données de recrutement et n’affecte aucun système lié aux opérations de sûreté ou de sécurité aérienne. »

Mais même si les systèmes ayant un impact sur la sécurité n’étaient pas directement affectés, les informations volées pourraient être utilisées par des attaquants pour se faire passer pour des responsables de compagnies aériennes ayant accès à des zones sensibles, selon Johannes Ullrich, doyen de la recherche à l’Institut SANS, qui fournit des certifications et des recherches en matière de cybersécurité. .

« C’est très risqué » car « nous ne savons pas comment (les attaquants) vont utiliser les données qu’ils contrôlent désormais. Ils pourraient postuler à des emplois avec ces informations », a déclaré Ullrich. « S’ils disposent des informations d’une candidature solide et qu’ils peuvent usurper leur identité, cela pourrait les placer dans des lieux de confiance. Cela pourrait concerner les systèmes back-end qui échangent des données de vol, etc., ce qui pourrait perturber le transport aérien.

Lorsqu’on lui a demandé comment l’OACI pouvait affirmer que les systèmes de vol n’étaient pas menacés par la violation, Raillant-Clark a répondu que son agence ne pouvait pas prédire ce que les attaquants feraient avec les données volées.

Il a déclaré : « nous ne sommes pas en mesure de valider les affirmations ou autres déclarations faites par des parties externes, et nous ne sommes pas non plus en mesure de spéculer sur leurs intentions ».

L’agence a déclaré que les données « auraient été divulguées par l’acteur menaçant connu sous le nom de Natohub ».

Des rapports ont identifié Natohub comme l’alias utilisé par un voleur de données sur BreachForum, un forum et un marché de cybervoleurs.

Sans être précis, l’OACI a déclaré : « nous avons mis en œuvre des mesures de sécurité supplémentaires pour protéger nos systèmes. Nous travaillons également à identifier et informer les personnes concernées.

De nombreuses données volées

« Les données compromises comprennent des informations relatives au recrutement que les candidats ont saisies dans notre système, telles que leurs noms, adresses e-mail, dates de naissance et antécédents professionnels », indique le communiqué initial de l’OACI. « Les données concernées n’incluent pas les informations financières, les mots de passe, les détails du passeport ou tout autre document téléchargé par les candidats. »

De nombreux rapports font état d’attaques contre les bases de données de candidatures, car elles contiennent généralement d’énormes quantités d’informations personnelles identifiables (PII) et d’autres informations sensibles.

Au problème de cybersécurité s’ajoute le fait que de nombreuses entreprises ont tendance à sous-traiter ces sites à des tiers qui ne disposent peut-être pas des protections les plus robustes.

L’une des faiblesses des systèmes de candidature à un emploi est la possibilité pour les candidats de télécharger des fichiers. « Autoriser le téléchargement de fichiers, en particulier de fichiers PDF, est l’une des choses les plus dangereuses qu’un système puisse autoriser », a déclaré Ullrich, soulignant que cela pourrait permettre aux attaquants de télécharger des logiciels malveillants.

« Ces bases de données de candidatures sont toujours des cibles car elles contiennent beaucoup d’informations » et de nombreuses entreprises « collectent plus de données qu’elles n’en ont réellement besoin », a-t-il déclaré.

Par exemple, Ullrich a souligné la déclaration de l’OACI selon laquelle les dates de naissance avaient été volées. « Est-ce qu’ils ont vraiment besoin de poser cette question aussi tôt dans le processus ? »

« J’espère qu’ils ont des preuves solides qu’il n’y a pas eu de fuite », a-t-il déclaré, ajoutant que la meilleure tactique pour protéger ces informations est de chiffrer autant de données que possible et de mettre en œuvre un mécanisme automatisé pour déplacer les données d’un environnement public vers un environnement public. environnement fermé et sécurisé le plus rapidement possible.

Ullrich a également remis en question la partie de la déclaration de l’OACI qui détaillait ce qui n’avait pas été volé. Étant donné que les rapports de violation sont régulièrement mis à jour et enrichis, il est beaucoup plus sûr de dire ce qui a été définitivement volé et de ne pas discuter de ce qui semble initialement ne pas avoir été volé.

La lutte contre ces problèmes nécessite des talents sophistiqués et expérimentés en matière de cybersécurité, que l’on ne trouve souvent pas chez ces fournisseurs externalisés qui gèrent les fonctions de candidature à un emploi, a déclaré Ullrich.

Étant donné que les données saisies ont duré plus de huit ans, il semble probable qu’elles aient été conservées pendant une période prolongée.

Il s’est également demandé si l’attaquant avait réellement ciblé l’agence des Nations Unies, ou s’il s’agissait simplement d’une attaque d’opportunité, où l’attaquant avait découvert des failles dans la plateforme de la société de candidature tierce et s’en prenait systématiquement à tous ses clients.

L’attaquant pourrait simplement « supprimer les sites créés par ce fournisseur », a déclaré Ullrich. « Il est très possible que (l’OACI) n’ait pas été ciblée, mais simplement parce que quelqu’un pêchait des sites présentant une vulnérabilité particulière. »