Le département américain de la Sécurité intérieure a prévenu mardi que les systèmes de vol des petits avions modernes sont vulnérables au piratage informatique si quelqu’un parvient à accéder physiquement à l’appareil.

Un avertissement de l’équipe d’intervention d’urgence informatique du ministère fédéral américain recommande donc aux propriétaires d’aéronefs de limiter l’accès physique non autorisé à leurs appareils jusqu’à ce que l’industrie élabore des mesures de protection pour remédier à cette vulnérabilité, mise au jour par une société de cybersécurité de Boston et signalée au gouvernement américain.

La plupart des aéroports disposent déjà de mesures de sécurité pour limiter les accès non autorisés aux appareils et rien ne prouve que quiconque ait déjà exploité cette vulnérabilité exposée par les spécialistes du piratage. Mais un responsable du département américain de la Sécurité intérieure a déclaré à l’Associated Press que le ministère avait confirmé de manière indépendante la faille de sécurité avec des partenaires extérieurs et avec un laboratoire de recherche national. C’est pourquoi les responsables ont décidé qu’il était nécessaire de publier un avertissement sur cette vulnérabilité.

L’entreprise de cybersécurité Rapid7 a découvert qu’un pirate pourrait perturber les messages électroniques transmis sur le réseau d’un petit avion, en connectant par exemple au câblage un petit dispositif qui interférerait avec les systèmes de l’appareil. Les données du moteur, de la boussole, de l’altitude et d’autres lectures à bord «pourraient toutes être manipulées pour fournir de fausses mesures au pilote», selon l’alerte du département américain.

Le rapport ne nomme pas les fournisseurs testés par Rapid7, mais l’entreprise les a alertés il y a plus d’un an, indique-t-on.

Les aéronefs dépendent de plus en plus des systèmes de communication en réseau, un peu comme les voitures modernes. Or, l’industrie automobile a déjà pris des mesures pour remédier à des problèmes similaires de vulnérabilité au piratage informatique.

Système nerveux central

Le rapport de Rapid7 portait uniquement sur les petits aéronefs, car leurs systèmes sont plus faciles à acquérir pour les chercheurs. Les gros aéronefs utilisent souvent des systèmes plus complexes et doivent satisfaire à des exigences de sécurité supplémentaires. L’alerte fédérale ne s’applique pas aux anciens petits avions dotés de systèmes de contrôle mécaniques.

Le ministère fédéral américain recommande donc aux fabricants de revoir la manière dont ils mettent en œuvre ces systèmes électroniques ouverts, appelés «bus de données CAN», pour limiter la capacité d’un pirate informatique à mener une telle cyberattaque.

Le bus de données CAN («Controller Area Network») fonctionne comme le système nerveux central d’un véhicule. Il y a encore quelques années seulement, la plupart des constructeurs automobiles utilisaient ce système ouvert dans leurs voitures, mais face aux menaces de piratage, ils ont ajouté depuis des couches de sécurité.

La divulgation de cette vulnérabilité met par ailleurs en lumière les problèmes des secteurs de l’automobile et de l’aviation quant à savoir si ce problème doit être traité comme un défaut de sécurité, avec son potentiel de rappels coûteux par le fabricant — et sa responsabilité civile implicite.

Le système de réseau de «bus de données CAN» a été conçu dans les années 1980 et est extrêmement populaire pour les bateaux, les drones, les vaisseaux spatiaux, les avions et les voitures — autant de secteurs où il y a plus d’interférences et de brouillage, et où il est donc avantageux d’avoir moins de câblage. Il est en fait de plus en plus utilisé dans les avions aujourd’hui en raison de sa facilité et du coût de son installation.

