ARINC MUSE, système mutualisé de Collins Aerospace, perturbe des vols dans toute l'Europe

Plusieurs grands aéroports européens, dont Heathrow, Bruxelles, Berlin et Dublin, ont signalé des perturbations affectant les systèmes d'enregistrement, d'embarquement et les bornes libre-service. Ces interruptions ont été causées par l’attaque qui a visé MUSE, la plateforme de traitement des passagers de Collins Aerospace, utilisée dans de nombreux aéroports internationaux.

Auteur : Acronis

• Plusieurs grands aéroports européens, dont Heathrow, Bruxelles, Berlin et Dublin, ont signalé des perturbations affectant les systèmes d'enregistrement, d'embarquement et les bornes libre-service. Ces interruptions ont été causées par l’attaque qui a visé MUSE, la plateforme de traitement des passagers de Collins Aerospace, utilisée dans de nombreux aéroports internationaux. 

• L'incident a été qualifié d'attaque de ransomware dans certains médias, citant l'Agence de l'Union européenne pour la cybersécurité (ENISA), bien qu'aucune déclaration officielle de l'agence n'ait été publiée à ce stade. 

• La National Crime Agency a indiqué que les autorités britanniques avaient interpellé un suspect dans le West Sussex, dans le sud de la Grande-Bretagne. Cette information a été relayée par BBC News. Il a ensuite été remis en liberté sous caution conditionnelle. Les investigations se poursuivent.

• La variante de ransomware à l'origine des perturbations n'a pas été confirmée. Certaines sources évoquent HardBit, une opération de ransomware lancée en 2022 et désormais inactive, connue pour cibler directement les organisations.  

• Les noms BlackBit et LokiLocker ont également circulé dans les médias et les discussions communautaires, mais ces hypothèses semblent spéculatives. BlackBit est présenté comme un service RaaS (Ransomware-as-a-Service) à petite échelle, tandis que LokiLocker semble relever d'une mauvaise attribution ou d'une variante marginale, avec peu d'indices d'une activité structurée. À ce stade, aucune de ces familles n'a été officiellement liée à l'incident. 

• La variante de ransomware n'a pas été confirmée. 

• Le vecteur d'intrusion reste inconnu : Personne ne sait dire si les cybercriminels ont compromis Collins Aerospace directement ou via un fournisseur tiers de la chaîne logistique. 

• L'étendue exacte des aéroports et compagnies aériennes touchés n'a pas été rendue publique, et le calendrier demeure imprécis sur la date de rétablissement complet de l’activité.

• On ignore encore si des données ont été exfiltrées, si une demande de rançon a été formulée et quel type d'acteur serait impliqué (groupe criminel, acteur étatique ou menace interne). 

La plateforme ARINC MUSE de Collins Aerospace, aujourd'hui proposée sous les versions vMUSE et cMUSE, permet à plusieurs compagnies aériennes de partager des comptoirs d'enregistrement, des bornes libre-service et des portes d'embarquement. Cette mutualisation réduit les coûts et optimise l'utilisation d'espaces limités. vMUSE correspond au modèle historique, déployé localement par les aéroports. cMUSE est la version moderne, cloud, fournie directement par Collins. Si les deux améliorent l'efficacité opérationnelle, cMUSE accroît la dépendance à la résilience du fournisseur. Selon les communications du fournisseur, des centaines de compagnies aériennes et d'aéroports dans le monde s'appuient sur MUSE. 

En avril 2025, l'aéroport d'Heathrow a renouvelé son contrat avec Collins Aerospace afin de continuer à utiliser ARINC cMUSE sur l'ensemble de ses terminaux. La solution prend désormais en charge plus de 80 compagnies aériennes. 

Cette efficacité s'accompagne toutefois d'un risque : une plateforme ainsi partagée crée un point de défaillance unique. La moindre perturbation de MUSE ne va pas toucher une seule et unique compagnie aérienne, mais risque de ralentir le fonctionnement de terminaux entiers, engendrant des retards, voire des annulations de vols. Pour les passagers concernés, les files d’attentes s’allongent lorsque le personnel doit revenir à des procédures manuelles. Si bien qu’un système conçu pour fluidifier les déplacements peut rapidement provoquer une congestion et toucher des milliers de voyageurs. 

C'est un problème typique de chaîne logistique numérique. Les aéroports et les compagnies aériennes dépendent de logiciels sur lesquels ils n'ont pas de contrôle total. Lorsqu'un cybercriminel compromet ce fournisseur, ou lorsque la plateforme elle-même connaît une perturbation, l'impact se propage à l'ensemble des organisations qui en dépendent.

Le secteur aérien a déjà été confronté à ce type de risque par le passé mais dans une moindre mesure. En 2021, SITA, un important fournisseur de services IT et de solutions de gestion des passagers, a été compromis lors d'une cyberattaque, exposant les données de programmes de fidélité de plusieurs compagnies aériennes. 

Cette année, le groupe de cybercriminels Scattered Spider a étendu ses activités au secteur de l'aviation, en ciblant des fournisseurs IT externalisés ainsi que des systèmes de gestion des identités utilisés par les compagnies aériennes et les services aéroportuaires. Longtemps associé à l'ingénierie sociale et à l'exploitation des fournisseurs d'identité, ce groupe montre des signes de fragmentation et de recomposition, avec certains éléments désormais liés à Hunters International ou à Lapsus$. Cette structure mouvante complique l'attribution des responsabilités, les tactiques associées à Scattered Spider perdurant malgré l'évolution du groupe. Bien qu'aucun élément ne permette de le relier directement aux perturbations observées dans les aéroports, son activité récente illustre l'exposition croissante du secteur à des groupes criminels avancés. 

Selon certaines sources, l'aéroport de Delhi utilise également le logiciel de gestion des passagers MUSE, affecté en Europe, à l’inverse de Goa, Hyderabad et d'autres aéroports indiens qui s'appuient sur des systèmes différents. Pourtant, d'après le ministère indien de l'électronique et des technologies de l'information (MeitY), aucun impact n'a été constaté en Inde, malgré des perturbations étendues à Heathrow, Bruxelles et Berlin. Cette situation soulève une question clé : pourquoi Delhi a-t-il été épargné alors que d'autres aéroports continuent de subir les conséquences de l'attaque par ransomware ?

Crédit : compte X de l'aéroport de Berlin-Brandebourg (BER).

« Mise à jour : des retards et des annulations de vols peuvent encore se poursuivre à BER. Merci de vérifier le statut de votre vol auprès de votre compagnie aérienne et d'utiliser l'enregistrement en ligne. » a indiqué l'aéroport de Berlin-Brandebourg (BER) sur son compte X. 

Delhi pourrait avoir évité les perturbations pour plusieurs raisons. Son déploiement de MUSE peut être segmenté ou personnalisé de manière à réduire l'exposition. Les cybercriminels ont également pu se concentrer exclusivement sur les instances européennes, soit pour maximiser l'impact, soit parce que seules ces configurations présentaient une vulnérabilité exploitable. Par ailleurs, les autorités indiennes ont réagi rapidement après les premiers signalements et demandé aux aéroports de passer en revue leurs systèmes, de vérifier leur état opérationnel et de renforcer la surveillance de la sécurité. 

Le 19 septembre 2025, RTX Corporation a déposé un formulaire 8-K auprès de la Securities and Exchange Commission (SEC) des États-Unis. Ce document réglementaire, utilisé par les entreprises cotées pour déclarer des événements significatifs non programmés, fait état d'un incident de type ransomware affectant son logiciel de traitement des passagers MUSE. Il s'agit de la première confirmation officielle liant les perturbations à un ransomware et confirmant l’incidence sur les systèmes utilisés par des aéroports. 

Les entreprises cotées aux États-Unis sont tenues de déclarer tout événement susceptible d'affecter leurs investisseurs ou leurs opérations. Les incidents de cybersécurité entrent dans ce cadre. Bien que RTX ait indiqué que l'attaque de ransomware visant MUSE ne devrait pas avoir d'impact financier significatif, l'entreprise était néanmoins tenue d'en informer formellement les autorités de régulation et le marché. 

Formulaire 8-K déposé par RTX Corporation confirmant un incident de ransomware affectant les systèmes aéroportuaires MUSE. 

Selon ce document : 

« Le 19 septembre 2025, RTX Corporation a pris connaissance d'un incident de cybersécurité impliquant un ransomware sur des systèmes prenant en charge son logiciel de traitement des passagers MUSE (Multi-User System Environment). » 

RTX a précisé que ces systèmes ne faisaient pas partie de son réseau d'entreprise interne, mais fonctionnaient dans des environnements propres aux clients : 

« Les systèmes aéroportuaires MUSE opèrent en dehors du réseau d'entreprise de RTX et sont hébergés sur des réseaux spécifiques aux clients. » 

L'entreprise a indiqué que les clients concernés avaient basculé vers des procédures de secours ou manuelles, entraînant des retards et des annulations de vols. RTX a également souligné qu'à ce stade, l'incident n'avait pas eu d'impact financier significatif : 

« Bien que notre enquête et notre évaluation de cet incident de cybersécurité produit soient toujours en cours, celui-ci n'a pas eu d’incidence majeure et ne devrait raisonnablement pas avoir d'impact significatif sur la situation financière, les activités ou les résultats d'exploitation de l'entreprise. » 

Enfin, RTX a également indiqué collaborer avec des experts en cybersécurité internes et externes, avoir contacté les autorités compétentes et fournir une assistance aux compagnies aériennes et aux aéroports concernés. 

En tant qu'entreprise cotée aux États-Unis, RTX est soumise aux règles de la SEC (Securities and Exchange Commission), organisme fédéral américain de réglementation et de contrôle des marchés financiers, qui impose une divulgation rapide des incidents de cybersécurité. C'est pour cette raison que RTX a déposé ce formulaire 8-K, confirmant un incident de ransomware affectant ses systèmes MUSE, même si l'entreprise a précisé que cet événement ne devrait pas avoir d'impact financier « significatif ». 

Dans l'Union européenne, des aéroports comme Bruxelles et Berlin relèvent de la directive NIS2 qui, depuis octobre 2024, impose la déclaration des cyberincidents majeurs aux autorités nationales compétentes. En revanche, ces incidents ne sont pas nécessairement rendus publics, à moins que les autorités compétentes ne le demandent. Au Royaume-Uni, l'aéroport d'Heathrow est soumis à l'ancien cadre NIS, qui impose une notification à la Civil Aviation Authority (CAA), l'organisme chargé de la supervision et de la réglementation de l'aviation civile, ainsi qu'au National Cyber Security Centre (NCSC), l'autorité britannique en charge de la coordination et de la gestion des incidents de cybersécurité. En cas d'exposition de données des passagers, l'aéroport doit également prévenir l'Information Commissioner's Office (ICO), autorité britannique chargée de la protection des données. Dans les deux systèmes, les interruptions opérationnelles doivent être signalées aux autorités, mais n'ont pas l'obligation d'être communiquées publiquement. 

Cette hétérogénéité réglementaire explique les écarts d'information observés. Le dépôt du formulaire 8-K par RTX apporte une confirmation officielle et documentée de l'attaque par ransomware, tandis que Heathrow et d'autres aéroports ont limité leurs communications publiques aux perturbations de service et aux efforts de rétablissement. Ce que le public perçoit dépend ainsi moins de la gravité de l'incident que des obligations de divulgation propres à chaque juridiction. 

RTX a désormais confirmé que les perturbations étaient dues à un incident de type ransomware affectant MUSE, son logiciel de gestion des passagers. Des aéroports à travers l'Europe ont été contraints de recourir à des procédures manuelles, entraînant des retards et des annulations de vols. Les enquêtes se poursuivent et aucune famille de ransomware ni aucun acteur malveillant n'ont été formellement identifiés à ce stade. 

Crédit : X

Sur X, Dominic Alvieri, chercheur et analyste en cybersécurité, a relayé des informations suggérant que Collins Aerospace pourrait avoir été touché par le ransomware HardBit. 

Cette attaque illustre l'évolution du ransomware. Le premier cas connu, le trojan AIDS en 1989, était rudimentaire : il se propageait via des disquettes et exigeait une rançon de 189 dollars pour restaurer les fichiers. Au milieu des années 2010, les groupes de ransomware chiffraient déjà des réseaux d'entreprise entiers. Sont ensuite apparues les stratégies de double extorsion, dans lesquelles les cybercriminels menaçaient de divulguer les données volées en cas de non-paiement. Aujourd'hui, de nombreux groupes ont franchi une nouvelle étape avec la triple extorsion, en exerçant des pressions supplémentaires via les régulateurs, les partenaires commerciaux, voire les clients. Ce qui n'était au départ qu'une tactique rudimentaire est devenu une industrie criminelle qui pèse plusieurs milliards de dollars. 

Le secteur de l'aviation est particulièrement exposé. Les systèmes partagés et externalisés comme MUSE sont conçus pour gagner en efficacité, mais constituent également des points de défaillance communs. Une seule perturbation peut se répercuter sur plusieurs aéroports et compagnies aériennes, entraîner des retards et des annulations de vols, et produire des effets qui s'étendent au-delà du périmètre initial de l'incident. 

Si la compromission d'un seul fournisseur peut avoir des conséquences à l'échelle mondiale, les régulateurs et les aéroports ne devraient-ils pas repenser leur dépendance aux plateformes externalisées ?