Les avions à la merci des pirates ?

Le ciel va-t-il nous tomber sur la tête ? À en croire des hackers, les avions pourraient devenir la cible de pirates. Crash, détournement, chantage… Le pire serait à craindre. La situation est d’autant plus inquiétante que les alarmes n’ont pas été déclenchées par des sociétés spécialisées dans la sécurité informatique (dont certaines crient parfois un peu trop vite au feu…) mais par le directeur de l’Agence européenne de la sécurité aérienne (AESA) mais aussi le FBI.

Le 8 octobre, lors d’une rencontre avec l’Association des journalistes de la presse aéronautique et spatiale (AJPAE), Patrick Ky, directeur de l’AESA, a été suffisamment explicite. « Nous avons organisé il y a quelques mois une cession sur la cybersécurité au sein de l’agence. Un groupe de l’Organisation de l’aviation civile internationale (OACI) nous a alors assuré que le risque état faible. Juste après cette présentation, j’ai fait intervenir un hacker, détenant également une licence de pilote d’avion commercial. En moins de cinq minutes, il est arrivé à entrer dans le réseau d’une compagnie aérienne avec un profil d’administrateur. Il s’agissait du réseau ACARS, le réseau de messagerie entre l’avion et le sol ». Quelques jours après, ce même hacker avait réussi à pénétrer le système de contrôle d’un avion au sol..

Comme d’autres domaines hyper connectés, l’aviation est vulnérable à la cybercriminalité ! Et ce constat ne date pas d’aujourd’hui. En 2013, les vulnérabilités dans le système ACARS avaient été mises à jour par Hugo Teso (consultant en sécurité informatique pour la société Nruns) lors de sa présentation baptisée « spoofing a plane » durant la Conférence Hack In The Box Security aux Pays-Bas. Titulaire d’une licence de pilote professionnel, il avait expliqué comment il pouvait prendre le contrôle d’un avion de ligne en plein vol grâce à un… smartphone Android.

Plus récemment, l’expert en sécurité Chris Roberts avait envoyé, lors d’un vol, un tweet en expliquant qu’il allait provoquer la chute des masques à oxygène, via le piratage du système de divertissement de l’appareil. Pour mener à bien cette opération, il s’était connecté à une prise Ethernet placée sous le siège des passagers et qui est utilisée pour relier les écrans des passagers au système de divertissement. Grâce à cette « porte d’entrée », il a pu accéder au système central de l’appareil et notamment au gestionnaire des réacteurs.

C’est une évidence trop souvent occultée : tout appareil ou machine raccordé à des réseaux de communication est vulnérable. Cela vaut pour les machines industrielles (du simple automate au fourneau d’une usine métallurgique) mais aussi pour tous les objets connectés et les véhicules. S’appuyant de plus en plus sur des protocoles internet, ces systèmes sont devenus vulnérables. Par ailleurs, beaucoup d’automates et de solutions reposent sur des systèmes propriétaires. C’est le cas justement du système ACARS reposant sur un schéma d’encodage/de décodage propriétaire existant depuis 1978… N’étant pas « Open source », ces solutions ne peuvent pas être analysées par la communauté de hackers qui pourrait y déceler des failles et avertir son éditeur pour qu’il propose un correctif.

« L’aviation doit arrêter de se voiler la face, a déclaré Patrick Ky. Nous devons nous poser la question de savoir quel réseau spécifique doit être mis en place, comme on en trouve dans les secteurs de la banque ou de l’énergie. Il faut par exemple pouvoir informer le reste du réseau qu’une attaque vient de se produire ».

Pas simple. « Il faudrait connaître la totalité de l’architecture réseau du système de pilotage, ainsi que toutes ses interfaces d’accès », avertit David Stupples, professeur à la City University et conseillé pour la division contre le cyberterrorisme du gouvernement britannique.

Par Philippe Richard