Avion piraté: gare au hack-air

Le piratage informatique d’un avion en plein vol, hypothèse plausible ou farfelue ? Une enquête du FBI montre qu’il existe des failles de sécurité inquiétantes dans ce sens.

Illustration avec Chris Roberts : cet expert en sécurité a réussi à passer des instructions de pilotage de l’avion en piratant le système de divertissement de son siège.

Le 15 avril, l’intéressé avait envoyé un tweet alors qu’il était sur un vol United Airlines dans un Boeing 737-800 entre Chicago et Syracuse (USA).

Il se targuait d’être en mesure de provoquer la chute des masques à oxygène, via le piratage du système de divertissement de l’appareil.

Chris Roberts a dévoilé son coup sur un ton facétieux. Mais, sur fond de lutte contre le terrorisme, le FBI n’a pas envie de plaisanter avec ce type de provocation : des agents fédéraux attendaient le passager trublion à la descente de l’avion et lui ont soustrait son ordinateur et ses différents équipements (disque durs, clés USB, etc.).

Chris Roberts n’en est pas à son coup d’essai.

Selon un document officiel sur l’enquête qui a fuité dans la presse canadienne, l’expert en sécurité avait déjà effectué plusieurs tests d’intrusion dans les systèmes d’information des avions en se connectant depuis les équipements de divertissement disponibles sur les sièges passagers (de marque Thales et Panasonic).

Comptez entre 10 et 15 essais sur la période 2011-2014. Et, en changeant de modèles d’avion SVP : Airbus A-320, Boeing 737-800, 900 et 757-200.

Les moyens non conventionnels ont été décortiqués par Silicon.fr. Ils démontreraient des failles critiques de sécurité en ayant accès au système central de l’appareil et notamment au gestionnaire des réacteurs.

Pour parvenir à un objectif louable au final ? Les tests de Chris Roberts ont permis d’identifier des maillons faibles dans la sécurité informatique associée au transport aérien et de colmater les brèches.

Mais les avis sont partagés dans la communauté du hacking. Les méthodes employées par Chris Roberts tournent à la polémique.

A la lumière de la réaction d’Alex Stamos, RSSI de Yahoo, via Twitter :

L’intéressé se défend sur son compte Twitter (pseudonyme Sidragon 1) et dans des médias comme Wired, mettant en avant son expertise et clamant qu’il n’a pas la moindre intention de provoquer une catastrophe. « Cette histoire est sortie du contexte de l’ensemble des discussions que j’ai pu avoir avec le FBI et dont je ne peux évidemment pas parler », clame Chris Roberts.

Il y a des dégâts collatéraux. Désormais, le trublion est déclaré persona non grata sur les vols United Airlines. De plus, la mauvaise publicité autour de cette affaire aurait dissuadé des investisseurs de contribuer au financement des activités de sa  société One World Labs. En conséquence, Chris Roberts va licencier 12 personnes, soit la moitié de l’effectif.

Ses actes de piratage en plein vol donnent du crédit au Governement Accountability Office (un organisme public d’audit américain) qui, dans un rapport, pointait du doigt les risques de sécurité IT associés aux services de communication mis à disposition des passagers en plein vol (Wi-Fi, systèmes de divertissement multimédia, téléphones..).

Simultanément, United Airlines a lancé le programme Bug Bounty : un concours destiné aux hackers qui aiderait la compagnie aérienne à détecter des vulnérabilités dans la protection des données de ses passagers.

En guise de récompenses, et en fonction de la criticité des failles repérées, les hackers obtiendront des miles, ces points de fidélité transformés en vols gratuits.

Chris Roberts n’est pas prêt d’intégrer ce programme spécial « Hacker Miles »

(Crédit photo : Shutterstock.com – Droit d’auteur : Sorbis)