Peut-il y avoir un jour un hacker aux commandes d'un Boeing ou d'un Airbus ? Oui si l'on en croit le directeur exécutif de l'Agence européenne de la sécurité aérienne (AESA), Patrick Ky, qui était l'invité ce jeudi de l'Association des journalistes professionnels de l'aéronautique et de l'espace (AJPAE). Des déclarations chocs qui peuvent effrayer. Mais il n'est pas le premier à prévenir de ce type de cyberattaques, en dépit du scepticisme des autorités comme l'Association internationale du transport aérien (IATA).
"Il n'y a aucune raison que les cyberattaques se limitent aux systèmes d'information des entreprises. Un pays a déjà fait atterrir un drone en prenant son contrôle. C'est pour cela qu'aujourd'hui, nous avons de plus en plus de sollicitations et de discussions sur ce thème avec nos grands clients pour protéger leurs avions, leurs trains, leurs navires de guerre ou civils...", avait expliqué Patrice Caine dans un interview accordée en juin à "La Tribune".
Lors d'une réunion restreinte de haut niveau organisée sur la cybersécurité par l'AESA à laquelle étaient invitées des agences de sécurité aérienne nationales, un hacker, qui a une licence de pilote, a fait la démonstration qu'il pouvait prendre le contrôle d'un avion. "En moins de cinq minutes, a expliqué Patrick Ky, il est arrivé à entrer, en, se faisant passer pour un administrateur d'une compagnie aérienne dans le système de messageries permettant l'échange d'informations entre l'avion et le sol. En deux, trois jours , il arrivait à rentrer dans un avion". Et le hacker d'expliquer sobrement devant une assemblée médusée notamment l'Organisation de l'aviation civile internationale qui a pourtant estimé le risque d'une cyberattaque sur le transport faible, selon Patrick Ky : "Je vous laisse juge de voir si le risque est faible ou élevé".
Le programme SESAR, un programme à risques?
Interrogé pour savoir comment le hacker s'y était pris, Patrick Ky est resté discret. "Pour des raisons de sécurité, je ne vous dirai pas comment il a fait", a-t-il souligné. Il a toutefois précisé que le hacker était entré dans le système ACARS, puis qu'il avait pénétré en deux, trois jours dans les systèmes de contrôle d'un avion au sol avant d'arrêter volontairement sa démonstration. Le système ACARS (Aircraft Communication Addressing and reporting System) est un système permettant l'échange d'informations (messages) entre l'avion et le sol sous forme numérique codée par liaison radio ou satellite. Ce système n'est pas connecté avec les systèmes contrôlant les avions. "En termes de sécurité, il n'y a pas de risque pour l'aviation commerciale", a assuré Patrick Ky.
En tout cas pas pour le moment. Car le programme européen SESAR, qui vise à restructurer l'espace aérien afin d'augmenter la capacité et d'améliorer l'efficacité globale du système de gestion du trafic aérien, pourrait changer la donne en ouvrant le système ACARS vers les systèmes de contrôle des avions. "Nous devons commencer par mettre en place une structure chargée d'alerter les compagnies aériennes sur les cyberattaques" a-t-il affirmé.
Déjà des attaques
Patrick Ky a par ailleurs reconnu que le secteur aérien faisait l'objet de cyberattaques régulières visant les sites des compagnies aériennes ou les services de contrôles aériens. Sans aucun dommage pour la sûreté et la sécurité aérienne jusqu'à maintenant. Mais "croire que le transport aérien est à l'abri de ce genre de menace revient à se voiler la face, a-t-il affirmé. C'est un sujet sérieux auquel nous devons nous attaquer".
Récemment le chercheur en sécurité Chris Roberts a réussi à pirater une vingtaine de fois les systèmes informatiques d'avions de ligne, via le système de divertissement en vol (In Flight Entertainment System ou IFE). Notamment il aurait réussi à modifier la puissance d'un des réacteurs du vol d'United Airlines du 15 avril dernier entre Denver vers Chicago. "Je n'y crois pas", a averti Patrick Ky.
"Plus on avance sur cette enquête, moins c'est clair", explique-t-on à La Tribune. Des propos sous-entendant que Chris Roberts n'aurait pas pris le contrôle du vol d'United Airlines. Selon nos informations, Boeing mais aussi Airbus, Thales (leader mondial dans le domaine des IFE) entre autres, coopèrent avec le FBI sur cette enquête. "On coopère en répondant aux demandes du FBI", précise-t-on à la Tribune. "Les IFE fonctionnent sur des réseaux indépendants (ségrégés)", fait-on observer chez Thales.
« Quand nous mettrons le pied sur l'accélérateur, nous serons difficiles à égaler » (Joelle Pineau, directrice de la recherche en IA chez Meta)
Sujets les + commentés