Avion téléguidé ? Peut-être un jour.

La sécurité informatique des avions de ligne commerciaux, est de plus en plus critiquée. Pourquoi ? Parce que depuis plusieurs années, les exploits de certains hackers, les réussites de certains organismes de sécurité, ou même les blagues de certains guignols font craindre le pire quant à l’impénétrabilité numérique de certains engins volants.

De l’intérieur :

De 2011 à 2015 l’expert en sécurité Chris Roberts mène tout seul dans son coin (du moins officiellement) des tests d’intrusion sur plusieurs types d’avions de ligne. Pour cela, il se sert des équipements disponibles dans les sièges passagers, auxquels il se branche avec son PC.

Des tests qui le mènent en 2015, à réussir à se connecter au système de gestion d’un des appareils. Pour cela il a ouvert cette fois le capitonnage du siège, pour se brancher directement en Ethernet au « réseau » de l’avion. Il a alors accès à plusieurs choses, dont le gestionnaire de réacteurs par exemple… mais comme c’est très difficile de rester humble dans certains moments, il Tweet sa réussite et se fait cueillir par le FBI à l’atterrissage…

Mais ce dont il s’agit aujourd’hui est tout autre. Parce que bon, même si notre Chris était super balèze, le fait est qu’il était quand même dans l’avion, branché comme il faut, bref grand luxe.

De l’extérieur :

Là, on parle de l’agence de sécurité intérieure des Etats-Unis, qui grâce à une équipe d’experts, pirate un Boeing 757 depuis le tarmac.

Et ouais, vous avez bien lu, il y a à peu près un an, le Department of Homeland Security (déjà rien que le nom c’est la classe), réussit le tour de force d’établir une présence informatique à l’intérieur d’un avion, sans aucune connexion filaire, ni complicité à l’intérieur de l’aéronef. Cette expérience est rendue publique il y a quelques jours, mais n’est finalement que la confirmation de ce que d’autres avaient déjà annoncé.

Hugo Teso, lui aussi expert en informatique, avait annoncé qu’il serait d’après lui possible, de prendre le contrôle à distance, et sans aide intérieure, d’un avion de ligne commercial, avec un smartphone Androïd…c’est rassurant hein ? Et bien lors de la conférence de sécurité Hack in the Box, il l’a fait…certes sur un avion virtuel, mais le procédé semble rester le même.

Donc si on sait que c’est possible, si certains l’ont fait, si des organismes gouvernementaux ont vérifiés la faisabilité, pourquoi est-ce encore possible ?

Robert Hickey (le patron des questions aéronautiques de la sécu intérieure des US), nous explique que premièrement, il n’y a personne de formé à la cyber sécurité à l’intérieur des avions. Et que deuxièmement, le coût et le temps nécessaires pour intervenir sur le code des systèmes embarqués est sans aucune mesure ! Il parle dans l’interview de quelque chose comme 1 million de dollars US et un an de procédure et de travail, pour changer UNE ligne de code…

Mais…

Tout cela est très alarmiste et pessimiste, mais restons lucides, et essayons de garder un peu les pieds sur Terre. Tout ce que nous venons de voir est possible. En théorie.

Même si ces différentes « expériences » sont dites sans complicité ou aide intérieures, elles restent réalisées dans un cadre spécifique, où tout est fait pour qu’elles soient un succès. Elles servent à alerter sur le peu de sécurité des avions, mais ne sont, POUR LE MOMENT, non reproductibles sur un avion de ligne en vol.

Et puis si vous suivez l’actualité, vous savez bien qu’il n’y a pas besoin de tout ça pour déclencher la panique. Cette semaine, un homme un peu dingo, a fait se poser son avion, juste en créant un hotspot nommé « Bomb on Board » …

A quand des avions sous VPN ?