ZATAZ » Arrestation au Royaume-Uni après la cyberattaque contre Collins Aerospace

La National Crime Agency (NCA) a annoncé l’arrestation d’un homme d’une quarantaine d’années dans le Sussex, soupçonné d’infractions au Computer Misuse Act. Cette arrestation intervient dans le cadre de l’enquête sur la cyberattaque visant Collins Aerospace, filiale de RTX, qui a affecté le logiciel ARINC vMUSE utilisé dans les aéroports européens^[7], notamment à Heathrow, Berlin et Bruxelles. L’attaque, potentiellement liée au rançongiciel HardBit^[8], a entraîné des centaines d’annulations et retards de vols depuis le 19 septembre.

Les enquêteurs face à un chaos aérien

Les perturbations ont commencé le 19 septembre au soir^[9]. Des centaines de vols ont été annulés ou retardés dans plusieurs aéroports majeurs européens, dont Heathrow, Berlin Brandenburg et Bruxelles. Les compagnies aériennes ont dû recourir à des procédures manuelles de check-in et d’embarquement, avec stylos et papiers, faute de pouvoir accéder au système ARINC vMUSE. Ce logiciel, développé par Collins Aerospace, permet aux compagnies de partager les guichets d’enregistrement et les portes d’embarquement.

Dans un dépôt réglementaire adressé à la SEC américaine^[10], Collins Aerospace a confirmé que l’incident était bien une attaque par rançongiciel ayant visé les systèmes qui soutiennent MUSE. L’entreprise a précisé que ces environnements fonctionnaient en dehors du réseau interne de RTX, sur des infrastructures propres aux clients. Elle a assuré avoir immédiatement déclenché son plan de réponse à incident pour contenir et remédier à la compromission.

Une arrestation mais une enquête encore fragile

La NCA, épaulée par la South East Regional Organised Crime Unit (ROCU), a arrêté dans le Sussex un homme d’une quarantaine d’années, soupçonné d’infractions à la législation britannique sur la criminalité informatique. L’intéressé a été relâché sous caution, dans l’attente de la suite des investigations. Paul Foster, directeur adjoint de la NCA et responsable de l’unité nationale^[11] de lutte contre la cybercriminalité, a insisté sur le caractère précoce de l’enquête. Selon lui, la cybercriminalité demeure une menace mondiale persistante, responsable de graves perturbations au Royaume-Uni, et exige une coopération internationale constante.

Le rançongiciel utilisé correspondrait à la souche HardBit, connue pour son absence de portail de paiement et sa simplicité technique. L’analyste Kevin Beaumont a publié sur Mastodon que la variante se distinguait par une faible sophistication, relevant davantage d’un problème d’hygiène informatique que d’une offensive hautement coordonnée.

Une réponse technique mise en difficulté

Si Collins Aerospace affirme avoir mobilisé ses équipes internes et des experts externes, le processus de récupération semble laborieux. Selon Kevin Beaumont, les dispositifs remis en service continuent d’être réinfectés, obligeant les techniciens à reprendre les opérations de restauration. Il décrit un niveau de sécurité insuffisant, soulignant que les charges malveillantes sont détectées par des antivirus gratuits avec des signatures remontant à plus de dix ans.

Malgré les efforts, les conséquences opérationnelles persistent. Jeudi matin, les statistiques de retards illustraient la situation contrastée : 56 % des vols partaient en retard à Heathrow avec 17 minutes de délai moyen, 72 % à Berlin avec 28 minutes de retard moyen, et 80 % à Bruxelles avec 26 minutes en moyenne.