Un Boeing 757 hacké par le département de la sécurité intérieure des Etats-Unis
Lors d'une conférence du sommet CyberSat sur la cybersécurité dans l'aéronautique, un officier d'état-major a expliqué comment son équipe a réussi à contrôler un avion commercial Boeing 757, relate le Defense Daily.
Une équipe américaine a réussi à pirater un avion commercial à distance, a-t-elle expliqué le 8 novembre au CyberSat, un sommet sur la cybersécurité dans l’aéronautique.
“Nous avons réceptionné l’avion le 19 septembre 2016. Deux jours après, j’ai réussi à accomplir une pénétration à distance, non-coopérative, ce qui veut dire que personne ne touchait l’avion et je n'avais pas de complicité interne. Je n'ai utilisé que des techniques classiques, qui ont réussi à passer la sécurité et nous avons pu établir une présence dans le système de l’avion", a dévoilé Robert Hickey durant la conférence.
VOS INDICES
source
Officier d'état-major du bureau du directeur du renseignement national, Robert Hickey est actuellement affecté au département de la sécurité intérieure/science et technologie (DHS/S&T), où il dirige le programme de cyber vulnérabilité des aéronefs commerciaux. Il a précisé au journal américain Defense Daily, que l’avion utilisé par la DHS pour le test était un Boeing 757 sur le sol de l’aéroport d’Atlantic City et qu’ils étaient passés par les fréquences de communication radio. Cependant, les autres détails n’ont pas pu être communiqué pour des raisons de sécurité.
La cybersécurité aéronautique n'est pas encore la priorité
Robert Hickey rapporte avoir contacté des experts qui ont répondu être parfaitement au courant, mais que "ce n’était pas grave". Cependant, le chef d’état-major explique avoir rencontré sept pilotes, capitaines sur les lignes American Airlines et Delta Air Lines, qui n’en avaient aucune idée et étaient choqués de ne pas avoir été mis au courant. Robert Hickey analyse le problème : "l'aviation est un sous-secteur de la composante transport du plan national de protection des infrastructures, mais l'accent est mis sur les systèmes terrestres traditionnels". La cybersécurité à distance n’est pas la priorité des recherches.
Pour lui les responsables aéronautiques sont aussi découragés devant les prix pour mettre à jour les systèmes avioniques. Le coût pour changer une ligne de code dans une pièce d’équipement est d’un million de dollar, et cela prendrait un an. Il donne l’exemple de Southwest Airlines dont la flotte est composée principalement de Boeing 737, qui ferait faillite si on dévoilait une faille de cybersécurité.
Les plus récents modèles de Boeing 737, le 787 ainsi que l’Airbus A350, ont été conçus en pensant à ces potentielles cyberattaques, mais ceux qui ont été construits auparavant, soit 90% des avions en fonctionnement n’ont pas ces protections. Il ajoute "qu'il s'agisse de la Force aérienne ou du secteur commercial, il n'y a pas d'équipe de maintenance qui puissent s'occuper de la détection des menaces cyber à bord des aéronefs. La priorité est pour l’instant de protéger les réseaux terrestres", explique-t-il.
En 2015 déjà, lors d’une rencontre avec l’Association des journalistes de la presse aéronautique et spatiale (AJPAE) où s'est rendue l'Usine Nouvelle, Patrick Ky, directeur de l’Agence européenne de la sécurité aérienne (AESA), expliquait très clairement comment un hacker avait aussi réussi un exploit du même genre. "Nous avons organisé il y a quelques mois une session sur la cybersécurité au sein de l’agence, racontait Patrick Ky. Un groupe de l’Organisation de l’aviation civile internationale (OACI) nous a alors assuré que le risque cybernétique état faible. Juste après cette présentation, j’ai fait intervenir un hacker, détenant également une licence de pilote d’avion commercial. En moins de cinq minutes, il est arrivé à entrer dans le réseau d’une compagnie aérienne avec un profil d’administrateur. Il s’agissait du réseau ACARS, le réseau de messageries entre l’avion et le sol".
SUR LE MÊME SUJET
Un Boeing 757 hacké par le département de la sécurité intérieure des Etats-Unis
Tous les champs sont obligatoires
0Commentaire
Réagir
