Le piratage informatique est une réelle menace pour l’aviation. Les responsables de ce secteur restent très attentifs aux travaux de certains hackers sur la question... Enquête.

Siège de l'Agence européenne de la sécurité aérienne (EASA), à Cologne en Allemagne.
Siège de l'Agence européenne de la sécurité aérienne (EASA), à Cologne en Allemagne. © Oliver Berg Deutsche Presse-Agentur/MaxPPP

Personne ne s’était aventuré à le prononcer en ces termes auparavant : Patrick Ky , directeur exécutif de l’Agence européenne de sécurité aérienne (AESA), a déclaré, le 8 octobre dernier, devant des journalistes spécialisés dans la presse aéronautique et spatiale, que le piratage d’un avion, qu’il soit au sol ou en vol, était possible et que les cyberattaques étaient de réelles menaces pour le secteur :

Croire que le transport aérien est à l’abri de ce genre de menace revient à se voiler la face . C’est un sujet sérieux auquel nous devons nous attaquer.

Preuve à l’appui, Patrick Ky raconte avoir fait appel à un hacker, employé par l’AESA et doté d’une licence de pilote commercial, qui est parvenu à pénétrer, en quelques minutes, dans le système de messagerie des compagnies aériennes, le réseau Acars , permettant d’envoyer des messages de l’avion vers le sol. « Et il ne lui a __ fallu que deux ou trois jours pour pénétrer dans le système de contrôle d’un avion au sol. Pour des raisons de sécurité, je ne vous dirai pas comment il a fait. Mais, je vous laisse juger si le risque est faible ou élevé,  » a expliqué Patrick Ky.

Chapeau noir et chapeau blanc

Ce n’est pas étonnant que les professionnels de l’aviation fassent appel à des hackers pour tester leurs systèmes de sécurité. En effet, il existe deux catégories de hackers : les chapeaux noirsblack hat ») qui piratent des systèmes dans un but malveillant, souvent pour faire du profit (en revendant par exemple des failles de sécurité à d’autres acteurs malintentionnés), et les chapeaux blancswhite hat ») qui réalisent des tests d’intrusion. Ces derniers, lorsqu’ils repèrent des failles de sécurité, alertent les entreprises ou autorités concernées pour qu’elles améliorent leur propre système de défense.

__

Le consultant en cybersécurité Hugo Teso en fait par exemple partie : il teste depuis des années la sécurité informatique de ce secteur et réalise des conférences sur ses recherches. En France, le responsable de la sécurité des systèmes d’information de la Direction générale de l’aviation civile (DGAC), Jean Carlioz , l’a rencontré, avec grand intérêt. Et il le prend très au sérieux :

« C’est un type jeune, très timide, qui a visiblement une grande expertise du sujet, qui ne s’interdit pas de fanfaronner mais tout est basé sur une vraie compétence, commence-t-il.Il nous avait fait une démonstration en montrant qu’en moins de 15 minutes il pouvait accéder à un système de navigation aérienne. » Jean Carlioz est conscient des risques de cyberattaque mais tempère, en expliquant qu’en contrepartie les autorités se préparent à ce risque potentiel d’attaque :

Si un gouvernement étranger ou des gens dotés de moyens considérables voulaient vraiment mettre le paquet, faire une ingénierie sociale, voler des mots de passe et faire comme font les hackers, c’est-à-dire peu à peu se rendre maître d’un système… au bout d’un moment, ils y arriveront, ce n’est qu’une question de temps, continue Jean Carlioz, de la DGAC. Sauf que pendant ce temps-là, nous évaluons le risque, on se nourrit des déclarations de personnes comme Hugo Teso, qui ont un vrai intérêt s’ils nous alertent. Constamment, nous essayons d’élever les niveaux des systèmes.

Des petits écrans… aux commandes de l’avion

Les tests d’Hugo Teso ne sont pas sans rappeler une autre expérience rapportée par un hacker, beaucoup plus controversé. En avril dernier, l’ingénieur en sécurité informatique Chris Roberts a affirmé avoir pris le contrôle, depuis l’avion, des écrans au dos des sièges-passagers, là où l’on diffuse les films pendant le vol. Il a même envoyé un tweet où il plaisante en se demandant quel message affiché : « Mettez vos masque à oxygen », par exemple;

Appréhendé par le FBI, deux jours plus tard, à la sortie d’un autre vol, il a expliqué avoir également réussi, en passant par le système gérant ces écrans de divertissement, à prendre les commandes de l’avion et à le détourner de sa trajectoire initiale. Une expérience, peut-être mal retranscrite dans l’enquête du FBI, et qui aurait en fait pu être réalisée dans un laboratoire, après reconstruction en conditions réelles.

Intérieur d'un avion de la Quatar Airlines, A350 XWB, Munich - 1 Octobre 2015
Intérieur d'un avion de la Quatar Airlines, A350 XWB, Munich - 1 Octobre 2015 © Stephan Goerlich/dpa/Corbis

Au moment de la médiatisation de cet évènement, de nombreux spécialistes ont affirmé que les systèmes de divertissement et le système qui gère les commandes d’un avion sont totalement séparés, ne permettant pas de passerelle entre l’un et l’autre. Pourtant, en théorie, cette expérience n’est pas si irréaliste, comme nous le rapporte Gerome Billois , spécialiste en cybersécurité à Solucom

« Dans l’absolu, ce n’est pas impossible : les avions aujourd’hui utilisent des réseaux informatiques qui sont censés être cloisonnés entre le réseau de loisir et le réseau de pilotage. Le problème est que même s’ils sont cloisonnés informatiquement, derrière, ils utilisent souvent physiquement les mêmes câbles. On se retrouve alors dans une situation où s’il y a des failles de sécurité, on peut potentiellement rebondir d’une zone à une autre et au final avoir accès au système de pilotage et faire dévier la course de l’avion si on envoie les bons messages. »

Cellule de crise, en cas de crash

Cette menace informatique est prise tellement au sérieux que lorsqu’il y a des accidents d’avions, c’est l’une des hypothèses auxquelles pensent les enquêteurs. Lors du crash de l’Airbus A320 de la Germanwings en mars dernier, par exemple, avant de découvrir que l’accident avait été causé par l’un des co-pilotes enfermé dans le cockpit, Guillaume Poupard , directeur de l’ANSSI - l’Agence nationale de la sécurité des systèmes d’information gère la sécurité des infrastructures les plus sensibles comme le nucléaire, la distribution de l’eau ou encore le système financier- a été appelé dans une cellule de crise :

Quand l’avion allemand de la Germanwings s’est crashé, j’étais personnellement dans la cellule de crise parce qu’[une attaque informatique] pouvait être une hypothèse, qui a tout de suite été prise en compte. Ayant accès à toutes les données, et aux boîtes noires, on a pu lever le doute sur le fait que ce n’était pas une attaque informatique.

__

Des menaces assez préoccupantes, ce peut paraître logique puisque dans l’informatique, comme dans bien d’autres secteurs, la sécurité n’est jamais acquise: « La sécurité à 100%, cela n’existe pas, explique Gerôme Billois.Quelqu’un qui aurait énormément de temps, énormément de moyens, arrivera à un moment donné à trouver une faille de sécurité, que ce soit, dans un avion, dans une voiture ou dans tous les systèmes qu’on peut imaginer. »

__

C’est comme dans la sécurité physique de tous les jours : vous pouvez avoir la chambre forte la plus sécurisée au monde, avec beaucoup de temps et d’argent vous allez quand même pouvoir réussir à rentrer.

Cependant, Gerome Billois relativise: « Tout un chacun ne peut en prenant l’avion et en se branchant sur les prises USB qu’on voit de plus en plus dans les sièges des voyageurs, d’un seul coup prendre le contrôle de l’avion et le faire se crasher. Bien heureusement il y a des mécanismes de sécurité qui ont été mis en place et qui assure une sécurité normale qui répond à la majeure partie des risques. »

Un rapport américain accablant

A l’heure actuelle, aucune communication officielle d’aucune compagnie n’a jamais admis ce genre d’incident. Il s’avère en tout cas, d’après les déclarations dans les médias des autorités de l’aviation de ces derniers mois, que ce sujet est devenu pour eux l’une de leurs priorités. La France et l’Europe ne sont pas les seuls à s’en inquiéter : en janvier dernier, le Government Accountability Office (GAO), l’organisme d’audit, d’évaluation et d’investigation du Congrès des Etats-Unis, publiait un rapport accablant adressé à la Federal Aviation Administration - la FAA est l’agence gouvernementale chargée des règlementations et des contrôles concernant l'aviation civile aux États-Unis-. Les 42 pages du rapport indiquent que les problèmes de cybersécurité menacent la capacité de la FAA d’assurer un fonctionnement sûr et sans interruption du système de l’espace aérien du pays.

Parmi les 17 recommandations rendues publiques (168 autres recommandations ont été publiés dans un document confidentiel non accessible au public), le GAO demande davantage de formation à ces problématiques de cybersécurité pour les employés, un renforcement des protocoles de contrôles d’accès avec l’identification et l’authentification des utilisateurs des systèmes et un chiffrement des données sensibles.

Les invités
L'équipe
Ce contenu n'est pas ouvert aux commentaires.