Pirater le système de contrôle d'un avion, c'est possible selon l'Agence européenne de la sécurité aérienne

Décollage a l'aéroport de Sydney - Crédits : Edward Corpuz CC Flickr

La confirmation est maintenant indiscutable. Le hacker qui avait prétendu avoir piraté un avion de ligne en mai dernier avait pourtant provoqué le scepticisme chez nombre d’experts. Le directeur de l’Agence européenne de la sécurité aérienne (AESA), Patrick Ky, a levé le doute : "l’aviation est vulnérable à la cybercriminalité".

Des propos tenus jeudi 8 octobre, lors d’une rencontre avec l’Association des journalistes de la presse aéronautique et spatiale (AJPAE). Pour soutenir ses dires, Patrick Ky a expliqué en détails comment un hacker en avait fait la preuve formelle… au sein même de l’AESA !

"Nous avons organisé il y a quelques mois une cession sur la cybersécurité au sein de l’agence, raconte Patrick Ky. Un groupe de l’Organisation de l’aviation civile internationale (OACI) nous a alors assuré que le risque cybernétique état faible. Juste après cette présentation, j’ai fait intervenir un hacker, détenant également une licence de pilote d’avion commercial. En moins de cinq minutes, il est arrivé à entrer dans le réseau d’une compagnie aérienne avec un profil d’administrateur. Il s’agissait du réseau ACARS, le réseau de messageries entre l’avion et le sol".

« N’importe qui peut s’introduire n’importe où »

De quoi faire dire au hacker : "Je vous laisse juge de savoir si le risque est faible ou élevé". Mais l’intrusion du pirate ne s’est pas arrêtée là. "Au bout de deux à trois jours, ce hacker a même réussi à pénétrer dans le système de contrôle d’un avion", continue Patrick Ky. Et de préciser aussitôt qu’il s’agissait d’un avion au sol. Serait-il possible de réaliser la même intrusion avec un avion en vol ? Cette question provoque un sourire figé chez Patrick Ky qui préfère ne rien répondre.

Les propos du patron de l’AESA surprennent, les systèmes de contrôle et de communication de l’avion étant a priori indépendants. Sans donner de détails sur le mode opératoire du hacker, Patrick Ky assure que les failles sont maintenant prouvées. "En matière de cybersécurité, n’importe qui peut s’introduire n’importe où, résume-t-il. Des hackers ont même réussi récemment à entrer dans le centre de commandes des drones américains".

Un projet de rapprochement avec les autorités américaines

La démonstration réalisée à l’AESA en toute discrétion, inquiète ces spécialistes de la sécurité aérienne. Le risque de cyber-attaque promet en effet de s’accroître dans les prochaines années avec le déploiement de Sesar, le projet de ciel unique européen qui vise à harmoniser le trafic aérien via une sorte de réseau internet fermé entre les avions et les systèmes de contrôle aérien.

La multiplication des communications entre les avions, le sol et les satellites, qui devraient favoriser une meilleure gestion du trafic aérien, pourraient aussi prêter davantage le flanc aux cyber-attaques.

"L’aviation doit arrêter de se voiler la face, assène Patrick Ky. Nous devons nous poser la question de savoir quel réseau spécifique doit être mis en place, comme on en trouve dans les secteurs de la banque ou de l’énergie. Il faut par exemple pouvoir informer le reste du réseau qu’une attaque vient de se produire".

Le patron de l’AESA milite pour un projet de rapprochement avec les autorités américaines, qui ont mis en œuvre un système d’analyse de données du trafic aérien qui permet d’identifier les risques. Il voudrait aussi impliquer les compagnies aériennes et les syndicats de pilote. En poste depuis deux ans, Patrick Ky voit la cybercriminalité comme l’un des enjeux majeurs du trafic aérien pour les années à venir.

Olivier James