Des chercheurs américains sont parvenus à pirater un Boeing 757 à distance

Sécurité

Par Gaël Weiss le

Des chercheurs de l’agence fédérale de la sécurité intérieure des États-Unis, la DHS, sont parvenus à pénétrer les systèmes informatiques d’un avion il y a un peu plus d’un an. L’information n’a été rendue publique qu’il y a quelques jours et inquiète désormais les compagnies aériennes.

Un Boeing 757. Crédit image :

L’opération s’est passée il y a plus d’un an, le 19 septembre 2016. Une équipe de chercheur de la DHS est parvenue à accomplir « une pénétration à distance et non coopérative » d’un Boeing 757 placé sur le tarmac d’un aéroport américain. « Cela signifie que personne n’a eu à toucher l’avion, que je n’avais pas besoin d’un complice assis dans l’avion. Je me suis tenu à l’écart en utilisant des équipements qui pourraient passer typiquement à travers les systèmes de sécurité et qui nous ont permis d’établir une présence sur les systèmes de l’avion », explique Robert Hickey, l’un des chercheurs ayant participé au piratage.

Un avion piraté à l’aide des ondes des communications radiofréquence

Les moyens et les procédés pour parvenir à prendre le contrôle, partiel ou non, des systèmes de l’avion sont classés secret-défense pour le moment. Ce que veulent démontrer ces chercheurs, c’est qu’un groupe de personne motivé et bien informé peut aisément — et sûrement avec des coûts modérés — détourner ou faire crasher un avion. Tout ce que l’on sait officiellement de ce piratage, c’est que les chercheurs ont utilisé les ondes des communications radiofréquence pour parvenir à leurs fins.

Cette annonce a fait lever les sourcils de nombreux hackeurs spécialisés justement dans la cybersécurité aéronautique. C’est le cas de Chris Roberts, un nom qui vous dit peut-être quelque chose. Ce hacker a déjà fait longuement parler de lui en 2015, lorsqu’il s’est mis à twitter depuis le siège de son avion en ayant pu hacker l’In-flight Entertainement System (IFE) à l’aide d’un câble Ethernet modifié et d’un PC. Ce spécialiste du piratage aérien — qui avait à l’époque rencontré quelques démêlés judiciaires — indique aujourd’hui sur Twitter que la découverte de la DHS est une « old news ».

Il précise sur son compte Twitter que pour parvenir à pirater l’avion en question, les chercheurs de la DHS ont très probablement utilisé le système de communication ACARS (Aircraft Communication Addressing and Reporting System).

Si j’en crois Wikipedia, l’ACARS « est un système de communication et de surveillance par radio utilisé en aviation par les exploitants d’aéronefs. » La faille se trouve sûrement du côté de ses capacités à contrôler l’état d’un avion. Wikipedia précise : « Il permet le contrôle automatique de l’état de l’avion en vol, envoyé vers le centre de maintenance de la compagnie aérienne propriétaire de l’avion, mais aussi l’acheminement de communications opérationnelles et logistiques. »

Patcher un avion coûte très cher, trop cher

Si le problème n’est pas nouveau, en revanche, les compagnies aériennes n’ont toujours rien fait pour le résoudre. Et pour cause, « patcher un avion » coûte très cher. Si les avions récents, comme les Boeing 787, les derniers modèles de 737 ou les Airbus A350, ont été conçus de façon à prendre en compte d’éventuels piratages, ce n’est pas le cas des appareils les plus anciens qui, selon le site Avionics, représentent près 90 % des avions commerciaux en service aujourd’hui. Le site indique ainsi que « le coût pour changer une ligne de code sur un équipement aéronautique est de un million de dollars et demande un an pour être implémenté ».

Un cockpit d’un vieux Boeing 757. Crédit image :

Le coût d’un tel patch est énorme. Mais cela pourrait coûter encore plus cher, voire ruiner des compagnies aériennes qui possèdent uniquement des flottes de Boeing 737 d’ancienne génération (c’est le cas de Southwest Airlines, par exemple). Si l’on découvre par exemple qu’une faille critique touche spécifiquement ces appareils, ces compagnies aériennes n’auraient d’autre choix que de clouer tous leurs appareils au sol. Et se déclarer en banqueroute en quelques jours…

Source: Source