Mauvaise nouvelle pour les compagnies aériennes. Pirater un avion à distance est non seulement possible, mais également difficile à contrecarrer. Des chercheurs en sécurité américains en ont fait récemment la démonstration, dans le cadre d’une mission de l’US Departement of Homeland Security (DHS), l’agence fédérale de la sécurité intérieure. L’expérience a eu lieu l’année dernière, mais les éléments n’ont été rendus public que la semaine dernière, à l’occasion de la conférence CyberSat Summit.
Comme le relate le site Avionics, relayé par The Register, les chercheurs du DHS ont réalisé leur test sur un Boeing 757 reçu le 19 septembre 2016. « Deux jours plus tard, j’ai réussi une pénétration à distance et non-cooperative », a expliqué Robert Hickey, membre de la division Cyber Security du DHS. « Ce qui signifie que je n’ai eu personne qui a touché l’avion, et je n’ai bénéficié d’aucune aide interne. Je me suis tenu à distance en utilisant des équipements typiques qui pourraient passer à travers le contrôle de sécurité et nous avons pu établir une présence sur les systèmes de l’avion ». Alertés au cours d’une réunion qui s’est tenue en mars dernier, des pilotes d’avions d’American Airlines et de Delta Airlines auraient été stupéfaits de cette nouvelle.
Une annonce qui était attendue
Les détails de ce piratage sont évidemment tenus secrets. Rober Hickey a seulement expliqué avoir utilisé des communications radiofréquence. Pour sa part, le hacker Chris Roberts – qui aurait déjà réussi à prendre le contrôle d’un avion à partir de son système de divertissement – estime que le DHS s’est probablement appuyé sur le système de communication ACARS (Aircraft Communication Addressing and Reporting System). Celui-ci permet à une station au sol de contrôler automatiquement l’état de l’avion au sol et d’acheminer des communications d’ordres opérationnelles et logistiques. Or, selon Chris Roberts, le système ACARS a également « un accès total » au système de gestion de vol et à l’unité de gestion des communications de l’avion.
You are good, better than most so I'm not going to complain…the story is good, simple and keeps it fairly level….
Oh, and the logic for how they got in this time is likely ACARS, that has FULL acccess to the FMS and CMU…we told Feds, they did squat https://t.co/drC6U53HxN— Sidragon: Flying Geek (@Sidragon1) November 15, 2017
En réalité, cette nouvelle n’est pas une véritable surprise. Depuis plusieurs années, les spécialistes en sécurité informatique alertent les autorités et le public sur les risques de piratage dans l’aviation. En 2013, le consultant Hugo Teso avait dévoilé PlanSploit, une application mobile qui serait capable de détourner un avion. En 2014, le hacker Ruben Santamarta a présenté des techniques permettant de détourner les communications satellite des avions. La même année, le professeur britannique David Stupples a tiré le signal d’alarme en estimant qu’il était possible de faire crasher un avion en déposant une bombe logique dans ses systèmes informatiques.
Patcher un avion coûte très cher
Dès lors, que faut-il faire maintenant ? Pour l’instant, personne ne sait vraiment car l’industrie aéronautique n’est pas du tout préparée à ce type de situation. Ainsi, les failles de sécurité ne sont pas vraiment gérées. Selon Avionics, une correction dans une ligne de code dans un équipement d’avion coûterait un million de dollars et demanderait un an pour être déployée. Une faille critique dans un Boeing pourrait donc mettre à genou des compagnies aériennes entières car elles seraient obligées de laisser leurs appareils sur le tarmac et verraient leurs revenus s’écrouler. Par ailleurs, les équipes de maintenance des compagnies aériennes ne seraient pas du tout formés pour tester les équipements informatiques des avions et y dénicher des failles. « Pourquoi ? Parce qu’elles s’occupent uniquement de protéger les réseaux terrestres, ce qu’elles font bien d’ailleurs. Mais un avion, c’est quelque chose de complètement différent », précise Robert Hickey.
Cette perspective est d’autant plus catastrophique que les anciennes générations d’avions comme le Boeing 757 n’ont pas été conçues selon des principes de sécurité informatique. Or, ces «vieux coucous» représenteraient plus de 90 % du transport aérien. Petite lueur d’espoir : les avions de nouvelle génération comme le Boeing 737 ou l’Airbus A350 ont un bien meilleur design de ce point de vue et devraient donc être mieux protégés. Jusqu’à preuve du contraire.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.