MO:SES - Fotolia
L’agence européenne de sécurité aérienne s’inquiète
Son directeur exécutif prend le risque de piratage d’avions civils très au sérieux. Des essais l’ont convaincu de la réalité de la menace.
Patrick Ky, directeur de l’agence européenne de sécurité aérienne (EASA), était de passage à Paris la semaine dernière. Nos confrères des échos ont suivi sa rencontre avec la presse aéronautique et spatiale. Ils rapportent que, selon lui, la menace de cyberattaque sur l’avion civile est « un sujet sérieux auquel nous devons nous attaquer ».
Une demi-surprise, en fait. La sureté du système ACARS, utilisé notamment pour transmettre les plans de vol aux systèmes de gestion de vol (FMS), a déjà été fortement questionnée. D’autant plus que le système, utilisé depuis la fin des années 1980, n’a pas été conçu avec les règles modernes de sécurisation des connexions.
Début avril 2013, Hugo Teso, chercheur en sécurité du cabinet de conseil N.Runs – depuis passé chez nSense – et pilote d’aviation, avait détaillé, lors de l’édition européenne de la conférence Hack in the Box, à Amsterdam, comment détourner des systèmes avioniques à partir d’un équipement informatique relativement rudimentaire. Il s’appuyait pour cela sur les failles du système numérique d’échange de données de vol ACARS afin d’exploiter des failles dans les logiciels de gestion de vol d’Honeywell, de Thales, ou encore de Rockwell Collins. Et ce n’était pas la première fois que la sécurité des systèmes de contrôle de vol embarqués était mise en cause.
Et c’est justement le système ACARS qu’un hacker – et pilote – embauché par l’EASA a réussi à détourner en moins de 5 minutes. Mais surtout, indique Patrick Ky, il n’a fallu à cet expert « que deux ou trois jours pour pénétrer dans le système de contrôle d’un avion au sol ».
L’intervention de Patrick Ky est à replacer dans le contexte du déploiement prochain de Sesar, le futur système de contrôle aérien unifié européen. Celui-ci prévoit notamment l’intégration d’appareils pilotés à distance parmi les vols commerciaux conventionnels.
Outre-Atlantique, l’administration de l’aviation civile a constaté des faiblesses qui menaceraient sa capacité à gérer de manière sûre le contrôle de l’espace aérien nord-américain.
Et fin avril, les autorités américaines ont appelé les compagnies aériennes à surveiller d’éventuelles tentatives d’utilisation malveillante des accès réseau fournis à leurs passagers. Même si, pour l’heure, les attaques restent improbables.