SCORE NT

Les experts en sureté et sécurité

Un hacker réussit à pirater les commandes d’un avion de ligne

20-05-2015

Est il possible pénétrer dans le système informatique d’un avion? 

Chris Roberts, consultant en sécurite informatique, déclare avoir repéré des failles informatiques dans le système des compagnies aériennes...
Il affirme avoir piraté les ordinateurs de bord de l’avion et avoir réussi à faire dévier à un moment l’avion de son itinéraire . Il a envoyé des tweets en vol pour se targuer de son exploit mais il a été arrété par le FBI à la descente de l’avion. L’année dernière , il a déjà été entendu trois fois par la police et ferait l’objet d’une enquéte.
Selon sa version, il semble qu’il ait également  piraté  les systèmes informatiques d’une vingtaine d’avions de ligne depuis 2011 à l’aide  d’un ordinateur, en branchant un câble ethernet directement au « Seat Electronic Box », le système  qui proposent des divertissements aux passagers durant le vol et qui se trouvent sous quelques sièges de l’avion. 
Il s’était adressé à la compagnie United Airlines  afin de lui proposer ses services pour la consolidation de son système de sécurité informatique mais la compagnie a refusé. Cette démonstration à bord d’un avion entre Chicago et Syracuse a de quoi inquiéter; il aurait réussi à contraindre l’appareil à se déporter sans que les pilotes puissent intervenir.
Les intentions de Chris Roberts n’auraient  rien de criminel. Roberts voulait prévenir une nouvelle fois les autorités sur la possibilité de prendre le contrôle d’un avion en se servant des appareils électroniques ou du Wi-Fi à disposition des passagers. C’est un lanceur d’alerte, membre du One World Labs, une association dont il est l’un des fondateurs et dont la mission est d’identifier les risques avant que les cybercriminels ne les découvrent. Il précise que l’opération nécessite de matériel de haut niveau, mais que c’est faisable.
Les autorités et les services de sécurité déclarent ne pas avoir la preuve que le piratage ait réussi mais ont demandé au personnel de bord de controler plus que jamais tous les comportements suspects et surtout de faire attention aux passagers qui tenteraient de se connecter aux ports réseaux de l’avion.
Roberts , pour le moment subit les conséquences de son geste car la tentative d’accéder sans autorisation à des réseaux de bord d’un avion commercial est une violation du droit fédéral; il est interdit de vol et après cette affaire, plusieurs investisseurs ont décidé de ne plus financer One World Labs et il a donc été contraint de licencier la moitié de son personnel.
Il aurait été peut ètre plus prudent vérifier à fond les affirmations de Roberts en faisant un peu moins de bruit surtout que cette alerte n’est pas la première.
En avril 2014, pendant les conférences de Hack in the Box, à Amsterdam, un certain Hugo Teso, un consultant en cybersécurité  qui a aussi une licence de pilote, avait fait fait une démonstration très inquiétante:  il avait démontré comment reprogrammer le Flight Management System d’un avion grace à un smartphone sous Android.
Ces gestes éclatants ne sont-ils pas le résultat d’un manque d’écoute, tout simplement? Cette indifférence n’est –elle pas dangeureuse?
Peut-on oublier qu’avant le 11 septembre , il y eut beaucoup d’alertes qui n’avaient retenu l’attention de personne et en particulier, l’alerte lancée par l’instructeur de vol de l’école d’aviation Pan Am International Flight Academy où Zacarias Moussaiou, l’un des vingt terroristes, s’entrainait. L’instructeur avait essayé de contacter le FBI plusieurs fois avant de réussir à parler avec quelqu’un, il avait déclaré que le suspect pouvait etre un terroriste car il n’était pas intéressé à attérir ou décoller et qu’il posait beaucoup de questions étranges comme par exemple le contenu de carburant de l’avion, quels seraient les dégats éventuels en cas de crash… Vu que Zacarias avait un passeport français, le FBI contacta les services de renseignements français qui, le 26 aout 2001 envoyaient un report complet sur Zacarias en citant textuellement “qu’il était très probablement un dangeureux extrémiste islamiste lié à Ben Laden et à Al Qaeda et qu’il avait été formé dans les camps en Afghanistan”.
La majeure partie des informations provenait du fameux juge Jean Louis Brughière, le meilleur spécialiste juridique français en matière de terrorisme à la tète ses services et bien que Zacarias ait été appréhendé avec plusieurs faux passeports, des informations techniques sur les avions, des manuels de pilotage et qu’il ait pris des cours de vol, et qu'en outre il avait violé les lois sur l’immigration, le Ministère de la Justice et des fonctionnaires haut placés du FBI ont bloqué la demande de mandat de sécurité nationale destiné à fouiller le disque dur de l’ordinateur du terroriste. Ce n’est qu’après le 11 septembre, que cette recherche a été faite.
Je serais curieuse de savoir comment tous ces responsables dorment depuis le 11 septembre.
Nicole Touati