La faille informatique qui inquiète les aiguilleurs du ciel

Rencontré dans le cadre d’une enquête pour France Inter sur la sécurité informatique dans le secteur aérien (« Aviation : les menaces de cyberattaques prises très au sérieux« ), Jean-Marc Bourguignon, conseiller en sécurité informatique, revient sur les failles de sécurité dans ce domaine, connues de certains hackers.

Dans le milieu de l’aviation, quelles sont les principales problématiques, de ces dernières années, en matière de sécurité informatique ?

Jean-Marc Bourguignon : Le milieu hacker s’amuse avec la sécurité et font ce qu’on appelle dans notre jargon des « Proof of concept » : montrer des choses qu’ils arrivent à faire avec souvent de petits moyens, comme démonter des gros systèmes de sécurité. Leur but est d’alerter : « Ce que vous avez fait, ce n’est pas bien, on peut le contourner et cela peut être dangereux. »

960130-N-2302H-001 A U.S. Navy air traffic controller watches his radar scope where he works as an Aircraft Approach Controller in the Carrier Air Traffic Control Center on board the USS George Washington (CVN 73) on Jan. 30, 1996. The controller is responsible for ensuring the safe, orderly and expeditious flow of air traffic operating in the vicinity of the aircraft carrier. The nuclear powered aircraft carrier and its battle group are en route to the Mediterranean Sea for a scheduled six-month deployment. While there, they will patrol the waters of the Adriatic Sea in support of the NATO Implementation Force (IFOR) in Operation Joint Endeavor. DoD photo by Airman Joe Hendricks, U.S. Navy.

Photo : Airman Joe Hendricks, U.S. Navy.

Concrètement, dans l’aviation, il y a depuis environ 5 ans un sujet qui fait beaucoup de bruit : l’attaque ADS-B. On va se servir de ce qu’émet l’avion : par exemple, les coordonnées GPS pour donner sa position à la tour de contrôle, que celle-ci visionne sur un radar. L’attaque fait très peur à tous les organismes qui doivent contrôler ce qui se passe dans le ciel (régulation aérienne, etc.). Des hackers peuvent réussir à faire croire qu’il y a des avions alors qu’il n’y en a pas, en envoyant de faux signaux GPS de localisation. Du coup, sur les radars d’une tour de contrôle, s’il y a 3 avions, le hacker va en faire apparaître 4, 5, 6… C’est pareil pour un pilote dans un avion : sur son tableau de bord, il a un petit radar pour voir les avions à côté. Ce système embarqué est aussi attaquable. Ce qui est très grave car quelqu’un de mal-intentionné peut faire apparaître un avion, qui n’est pas là, qui est fantôme, au radar. Mais le pilote va voir quelque chose donc va réagir avec une contre-mesure pour l’éviter.

Cette faille existe-t-elle vraiment ?

Oui. Vous n’en trouverez sûrement pas la preuve en ligne car ce sont des choses très sensibles, touchant à la défense, mais on peut tout à fait faire apparaître des points sur un radar alors qu’il n’y a strictement rien. Au Defcon, une conférence à Las Vegas où les hackers montrent ce qu’ils ont trouvé pendant l’année, cela fait 4, 5 ans qu’ils en parlent. C’est l’une des principales inquiétudes. Ce n’est pas une attaque facile car il faut un certain nombre de connaissances et un certain matériel. Mais c’est faisable.

Capture d'écran extraite d'une conférence au Defcon 20 sur l'attaque ADS-B

Capture d’écran extraite d’une conférence au Defcon 20 sur l’attaque ADS-B

Est-ce que les autorités aériennes en parlent ?

La FAA, l’organisme qui gère le trafic aérien aux USA – par exemple ceux qui ont arrêté le trafic aérien pendant les attaques du 11 septembre- est au courant. C’est évident que tous les organismes de régulation du trafic aérien sont au courant car c’est potentiellement une grosse faille pour eux. Après, il y a des contre-mesures : il est possible d’envoyer des fausses informations aux tours de contrôle car il n’y a pas de sécurisation des données. On ne peut pas valider que les données envoyées par les avions, affichées par la tour de contrôle aient bien été envoyées par l’avion. Du coup, un hacker peut prendre la place de l’avion et fait croire que c’est un message valide. C’est sécurisable, j’espère qu’ils y travaillent, mais à mon avis c’est très long parce que ce sont des centaines de millions d’avions. Cela ne doit pas être fait partout.

Je t’ai amené un rapport. Peux-tu nous le décrire ?

[Jean-Marc Bourguignon décrypte ici un rapport américain accablant  publié en janvier 2015 du Government Accountability Office (GAO), l’organisme d’audit, d’évaluation et d’investigation du Congrès des Etats-Unis, adressé à la Federal Aviation Administration (FAA), l’agence gouvernementale chargée des réglementations et des contrôles concernant l’aviation civile aux États-Unis.]

C’est un rapport public commandé par le GAO, pour le FAA, qui fait une mission d’évaluation sur la sécurité des aéroports, de l’infrastructure informatique, aux Etats-Unis. A la lecture, c’est assez affligeant car on se rend compte en lisant les recommandations, que, comme on dit entre nous, « ils sont à poils ». Par exemple : « établir des mécanismes de sécurité sûrs », « établir des formations pour les gens qui travaillent dans ce secteur » car il n’y en a pas. Ils disent aussi que tous les systèmes interconnectés, c’est-à-dire, le réseau (les postes informatiques dans les aéroports), ne sont pas sécurisés.

Extrait du rapport du GAO, janvier 2015.

Extrait du rapport du GAO, janvier 2015.

Quelles en sont les conséquences ?

Le rapport établit qu’ils n’ont pas du tout de quoi collecter les connexions, tout ce qui est anomalie-réseau, intrusion, surveillance, cession. Pour vulgariser, dans un aéroport il y a tout un réseau informatique avec des postes, des serveurs (le cerveau du réseau, pour faire simple : là où par exemple vont être transmis les données sur les passagers, l’embarquement, la gestion des panneaux lumineux qui affichent les heures de départs le nom des pilotes, le co-pilote, le planning des pilotes, les informations sur les vols…) donc toute une infrastructure sensible avec des données sensibles. Sur cela, le rapport dit que ce n’est pas sécurisé, rien n’est prévu. Je suis très étonné de lire ça. La cerise sur le gâteau, c’est que même après les attentats du 11 septembre, les aéroports ne sont pas classés sensibles, au niveau de l’Etat, à l’équivalent de qu’on appelle en France des OIV (Opérateurs d’importance vitale).

Qu’implique ce statut ?

Des moyens, des obligations pour les compagnies de se soumettre à des normes de sécurité. En France, c’est l’ANSSI [Agence nationale de la sécurité des systèmes d’information] qui le gère : elle a un pouvoir d’obliger à mettre des normes de sécurité, à réaliser des audits, faire des recommandations. Or là, pas du tout : les compagnies sont livrées à elles-mêmes : elles font ce qu’elles veulent.

En France, qu’est-ce qui est considéré comme OIV ?

Des centrales nucléaires, les groupes pétroliers comme Total, les grands fournisseurs d’accès historiques comme Orange. Certains services de l’Etat se servent d’Orange pour communiquer entre eux, donc évidemment ce sont des services surveillés de très près par l’Etat.

Les compagnies sont livrées à elles-mêmes, les constructeurs aussi. Ils ont en plus énormément de sous-traitants, non ?

C’est d’ailleurs indiqué dans le rapport américain : ils recommandent de faire faire des formations en sécurité aux sous-traitants. Comme déjà les aéroports ne sont pas considérés comme « sensibles », les sous-traitants sont encore moins contrôlés. Cela donne des produits pas audités, pas aux normes, ce qui peut poser de gros problèmes. Et c’est souvent d’ailleurs de là que viennent les problèmes : la sous-traitance.

Est-ce que ce rapport, en plus rendu public, t’étonne ?

Oui, d’une part il est public donc peut être lu par n’importe qui. Quelqu’un de mal intentionné pourrait s’y pencher. Et en plus, ce sont aux Etats-Unis, presque 15 ans après les attentats du 11 septembre. On aurait pu se dire que ce sont les premières choses qu’ils ont fait : prendre des mesures à ce niveau-là.

La menace est exponentielle avec leur infrastructure et ils n’ont pas suivi, malgré le fait que les cyberattaque ne sont pas nouvelles. Il y a 10 ans, ça existait déjà. Ils privilégient peut-être  la sécurité d’accès : le contrôle des personnes. Mais tout ce qui est informatique, ils n’ont pas suivi du tout.

5 réflexions sur “La faille informatique qui inquiète les aiguilleurs du ciel

  1. Pingback: La faille informatique qui inquiète les aiguilleurs du ciel | La Cybercriminologie sous toutes ses formes avec Jean-Paul Pinte

  2. « Centaines de millions d’avions » : ça me semble très peu probable, avec de l’ordre de 80 000 vols par jour (30 millions par an) et moins de 2000 avions civils produits par an. Plutôt  » dcentaines de milliers » ?

  3. La faille sur l’ADS-B n’est pas convaincante… Ok, faire apparaître un plot sur fr24 est relativement simple mais ce serait une autre affaire sur un système ATM : Il suffit de vérifier les infos sur plusieurs antennes et de les analyser un peu comme il est possible de faire de la multilatération avec les réponses radar.

    Il y a plus de soucis à se faire côté réseau avec passage aux technologies standards de notre époque (IP, serveurs LINUX, etc). Les vieilles technos propriétaires avaient leurs avantages du coup mais il faut bien évoluer.

  4. Pingback: Veille Cyber N49 – 03 novembre 2015 |

  5. Pingback: Veille sur la cybercriminalité de Jean-Paul PINTE, cybercriminologue, Maître de conférences, Enseignant chercheur à l’Université Catholique de Lille, auteur du blog http://Cybercriminalite.wordpress.com – 29/10/2015

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s