Les réseaux cockpit et cabine sont totalement isolés, ou séparés par un pare-feu informatique. Une passerelle existerait-elle néanmoins ?
Un hacker, Chris Roberts, vient d’affirmer qu’il avait réussi à pirater un avion de ligne. Attachons nous tout d’abord à la méthode utilisée par Chris Roberts. Sur certains appareils, l’IFE passe par le Seat Electronic Box (SEB), un boitier électronique situé sous le siège des passagers. A partir de 2011, après plusieurs essais et en dévissant les caches du SEB, il aurait réussi à modifier la connectique d’un câble pour pouvoir y brancher son ordinateur portable. Il aurait ainsi pu accéder au système de divertissement (films, jeux, messages délivrés aux passagers), et aurait pu identifier les informations relatives au vol parmi les données transitant sur le réseaux, dont la puissance moteur. Le moteur de l’avion aurait alors accéléré une fraction de seconde avant de reprendre un rythme normal.
Plusieurs points font néanmoins douter de la réalité de cette affirmation :
– Chris Roberts a recréé un environnement d’avion virtuel, et on ne sait pas s’il a envoyé un ordre à un moteur dans cet environnement simulé ou sur un vol réel (la seule source était le mandat du FBI) ;
– d’après le rapport du GAO, les systèmes de divertissement et les systèmes de pilotage du Boeing 737 (l’avion sur lequel Roberts aurait « réussi » son piratage) ne sont pas connectés, ce qui empêche bien évidemment toute interaction. Même si l’IFE et le Flight Management System peuvent bien être connectés (par exemple pour faire afficher les informations GPS afficher l’avion sur la carte disponible pour les passagers), les informations viennent du cockpit vers la cabine, jamais l’inverse (un firewall empêche qu’un paquet de donnée puisse aller en sens inverse, et ce n’est pas windows…) ;
– il est difficile d’imaginer que Roberts ait pu démonter un boitier électronique sur des dizaines de vol sans jamais attirer l’attention des personnels de cabine ou des autres passagers ;
A tout moment, les pilotes peuvent déconnecter tous les systèmes électriques disponibles pour les passagers. Pour cela, il suffit d’appuyer ici sur le bouton 10 (image extraite du manuel Airbus)
– d’après un expert de l’ARINC (l’organisme qui édicte les normes pour tous les systèmes de communication des avions de ligne), il est « inconcevable » que l’avion ait pu être contrôlé « sans une commande du pilote » (source en anglais ici) car les informations venant des moteurs ne peuvent être issues que des « Thrust Management Systems » ;
– si lors d’un vol, un avion avait tout d’un coup commencé à accélérer sans ordre des pilotes, alors ceux-ci auraient rédigé un rapport d’incident, ce qui n’est pas le cas.
Donc, même si dans le pire des cas, une personne pouvait ponctuellement donner un ordre à l’avion, cela ne durerait que quelques secondes, le temps pour les pilotes d’en prendre conscience. Les conséquences seraient par contre majeures pour l’industrie aéronautique qui devrait revoir l’architecture de ses avions…
Mais imaginons maintenant que tout cela soit possible et que la prise de contrôle par un passager via le système de divertissement… et bien la réponse du pilote serait instantanée : couper l’électricité chez les passagers (avec le simple bouton 10 du schéma ci-dessus). Quel que soit le piratage réalisé sur le système de divertissement en vol, les réseaux de données et électriques sont alors éteints (rappelons qu’il y a des armoires électriques avec des disjoncteurs dans le cockpit) et le piratage n’est plus possible.
Et si le piratage venait d’une connexion extérieure (ce qui est impossible vu les connexions de données arrivant dans le cockpit, mais imaginons) ? Les actions des pilotes passent normalement par un ordinateur avant d’être envoyées aux gouvernes de l’avion qui permettent de le faire évoluer. Si besoin, les pilotes peuvent déconnecter ces ordinateurs pour repasser en loi directe et l’avion se pilote alors à l’ancienne, c’est-à-dire sans assistance. Dans ce cas, et cette situation de perte des ordinateurs est rencontrée plusieurs fois par an par les pilotes dans leur simulateur, l’avion peut être repris en main par les pilotes et il n’y a plus de filtre entre la main du pilote et les mouvements de l’avion. Par ailleurs, outre ses commandes de vol électriques, un avion comme le Boeing 737 possède bien des câbles et des poulies qui relient son manche à ses gouvernes. Aucun piratage, quel qu’il soit, n’est capable d’empêcher le pilote de tirer sur son manche.
———
Pour écouter mon intervention sur Europe 1 sur ce sujet, vous pouvez aller au point 1h04 de la vidéo suivante :
S’il n’y a qu’un firewall entre le réseau divertissement et le FMS, techniquement les réseaux seraient donc bien interconnectés. Les techniques pour passer au travers de firewall, y compris en frontal sur l’internet et soumis a des attaques permanentes et sans commune mesure avec ce qu’est en mesure de faire un passager qui a bricolé la connectique sous son siège, existent. Aucun ne résiste a une attaque bien ciblée, ce n’est une protection que contre le tout venant.
La seule remontée FMS admissible ne passerait pas par un réseau ethernet et devrait être physiquement contrainte a un sens unique: Dans le passé, on faisait des ram double port pour faire communiquer deux systèmes disjoints. C’est un peu archaïque de nos jours, mais elles avaient dans le cas présent un avantage énorme: Il était tout à fait possible de câbler afin qu’elles ne puissent fonctionner que dans un seul sens.
Comme vous le dites, les conséquences de ce mic-mac peuvent se révéler majeures même si en théorie l’équipage garde la main… tant qu’il a tous les breaker: Rappelez vous ce vol perdu, a priori en plein océan indien, et pas encore retrouvé ou toute remontée radio/satellite avait été a priori coupée volontairement par leur biais… et que d’aucuns suggéraient alors que l’équipage ne puisse plus couper tout cela, au mépris des problèmes potentiels (ne pas pouvoir couper l’alimentation d’un équipement en CC/surchaufe avant que cela prenne feu par exemple)!
A titre personnel, je voyais plus des interventions indirectes (type trafics virtuels via des émissions transpondeur, pouvant alors agir sur les stratégies d’évitement afin de, en théorie, augmenter significativement les probabilités de faire percuter deux vols réels). C’était déjà problématique.
Mais séparer les réseaux divertissement et avionique par un firewall avec toutes ses limites, j’espère sincèrement que ce n’est pas la réalité.
Devoir modifier tout cela en profondeur et le re-certifier, c’est aussi des sommes énormes. Les constructeurs freineraient alors des 4 fers au risque de voir la démonstration faite jusqu’au bout par quelqu’un de moins bien intentionné.
Eugène Kaspersky disait il y a déjà quasiment 5 ans que quand il prenait l’avion, il avait peur. Et pas du pilote, mais de l’informatique embarquée et sa sécurité dont il est un spécialiste, tout le monde connait la société qui porte son nom. Commencerait-on à entrevoir pourquoi?
Normalement, Airbus avait a une époque sollicité en interne les services de EADS Innovation Works (et du défunt Cédric Blancher?), qui compte une jolie brochette de spécialistes à Suresne, afin de se pencher sur le problème (autour de 2008/2009).
L’avenir proche dira s’ils ont su mieux se border que Boeing, si toutefois les faits se confirment.
Ping : MH370 : pour en finir avec les théories du complot | Sécurité aérienne et peur en avion