• samedi 4 février 2012
  • Agoravox France Agoravox Italia Agoravox TV Naturavox
  • Agoravox en page d'accueil
  • Newsletter
  • Contact
AgoraVox le média citoyen
La fondation Agoravox
  Accueil du site > Actualités > Technologies > Comment cyberpirater un Boeing 787 ?
par Charles Bwele (son site) jeudi 10 janvier 2008 - 43 réactions Ecouter en mp3 (Synthèse vocale par ReadSpeaker)
6%
D'accord avec l'article ?
 
94%
(58 votes) Votez cet article
  • Faire un don
  • Imprimer cet article
  • Marquer et partager

Comment cyberpirater un Boeing 787 ?

... En se connectant au service Internet WiFi à bord avec un ordinateur portable ! Cette révélation d’un consultant en sécurité réseaux a été ensuite confirmée par la Federal Aviation Administration, puis du bout des lèvres par Boeing.

Non, il ne s’agit pas d’une ciné-séquence fumeuse à la Bruce Willis ou d’une élucubration blogosphérique en quête de buzzimat. Relatons les événements chronologiquement.

En 2006, Mark Loveless, consultant en sécurité réseaux chez Autonomics Networks - une bizarroïde société qui dit « opérer furtivement » et ne jouit apparemment pas d’une bonne réputation dans les milieux techno - fit une très peu furtive conférence intitulée Hacking the friendly skies. Dans son fichier Powerpoint de démonstration librement téléchargeable, il explique précisément comment pirater le réseau WiFi d’un terminal aéroportuaire ou d’un vol commercial avec un simple PC portable sous Windows 2000/XP. Quand on est un habitué des configurations réseaux, la relative simplicité de la démarche est aussi surprenante qu’effrayante.

Loveless aborde très brièvement le risque de cyberpiratage aérien par un passager et décrit les contradictions réglementaires entre la FAA et le Federal Communications Commission (l’office américain de régulation des télécoms) au sujet de l’utilisation des téléphones mobiles et des PC portables à bord des appareils. On apprend par exemple que le Département de la Justice et le Homeland Security étaient défavorables à cette utilisation car cela faciliterait quelque coordination opérationnelle entre des pirates à bord et des complices au sol ou en vol dans un autre jet. A priori, ce genre d’hypothèses semble complètement farfelu. Mais combien d’entre nous, rentrant paisiblement dans leurs draps la nuit du 10 septembre 2001, aurait avalé le scénario du lendemain ?

Les pertinents délires de l’étrange « Dr Loveless » tombèrent dans l’oubli jusqu’à ce que la FAA (l’équivalent américain de la Direction générale de l’aviation civile) lui redonne ses lettres de noblesse. Dans cette publication du 2 janvier 2008 - la FAA ayant retiré le document de son site, il s’agit ici d’un lien miroir - l’institution affirme qu’une faille réseautique autoriserait le cyberpiratage du Dreamliner à partir du réseau WiFi de la cabine passagers. En effet, ce réseau est physiquement et virtuellement connecté aux systèmes avioniques de pilotage, de navigation et de communication du Dreamliner. «  La configuration connectique pour passagers du B-787 est différente de celles des autres appareils. Elle est propice à des corruptions involontaires ou intentionnelles de systèmes indispensables à la sûreté et à la maintenance de l’avion.  »

En plus clair, le risque de bugs en cascade est aussi élevé que celui de hacking... Par ailleurs, et c’est bien connu : les cyberpirates ont de remarquables aptitudes à déceler les failles critiques, leurs meilleures et indéfectibles alliées.

Un avion en vol est en relation électronique quasi permanente avec le contrôle aérien, l’administration et l’assistance de la compagnie aérienne et la surveillance radar militaire. Compte tenu de la saturation croissante de l’espace aérien européen où le ciel unique sera prochainement instauré, les couloirs aériens civils et militaires seront de plus en plus flexibles et cogérés par l’armée de l’air et par l’aviation civile ; c’est déjà le cas en Italie et en Allemagne. Aux Etats-Unis où l’espace aérien est beaucoup plus vaste et plus disponible, les contrôleurs aériens et l’US Air Force sont devenus paranoïaques, à juste titre, depuis cette matinée du 11 septembre 2001. Dans de telles circonstances, la seule idée d’un « cybairpiratage » fait littéralement frémir...

Porte-parole du constructeur aéronautique, Lori Gunter affirma que « le rapport de la FAA est inexact  », et déclara que «  malgré quelques interconnexions, des firewalls logiciels, des séparations réseautiques et des solutions propriétaires que Boeing n’évoquera pas en public, assurent une étanchéité parfaite en toutes circonstances entre le service Internet des passagers et les systèmes avioniques de contrôle et de navigation [...] Des garde-fous protègent ces systèmes de tout accès non autorisé, mais Boeing doit encore effectuer des vérifications en laboratoire et en vol ». Elle a enfin ajouté que « Boeing et la FAA se sont accordées sur des tests de nouvelles solutions avant la livraison du premier avion ».

En matières de communication et de relations publiques, Boeing devrait peut-être revoir son organigramme. De qui se moque-t-on, Lori ? Pourquoi donc tester de nouvelles solutions si tout marche à la perfection ?

Il n’en fallut pas plus pour faire ressortir Loveless des tréfonds de sa mystérieuse matrice. Ce dernier se déclara heureux de ces initiatives communes, mais il nota que contrairement à la FAA qui fit publiquement mention de ces risques réseautiques à bord, « Boeing ne partage aucune information à ce sujet, ce qui est déjà un motif d’inquiétude [...] Je serais plus rassuré si une société crédible d’audit y jettait un oeil ».

La firme aéronautique a toutefois promis de fournir publiquement ses conclusions.

Les probabilités de hacking ou de bug provenant de la classe business ou économique et se propageant jusqu’au cockpit sont certainement infimes. Mais, en aéronautique comme en informatique, les infimes probabilités ont une fâcheuse tendance à dériver en catastrophes. Ces quelques exemples en diront plus long que d’ennuyeux paragraphes.

Informatique. Eté 2007 : 17 000 passagers bloqués pendant plus de huit heures dans leurs avions. La faute à une carte éthernet défectueuse qui provoqua un effet domino dans tout le système informatique de l’aéroport international de Los Angeles. Eté 2003 : 52 millions de personnes privées d’électricité au Etats-Unis et au Canada du fait d’une mise à jour logicielle dans un relais d’alimentation. Automne 2007 : le réseau de téléphonie IP Skype s’effondre. Le coupable : un patch sécuritaire Windows téléchargé par quelques millions d’utilisateurs. En tentant d’enrayer le bug, la compagnie fut confrontée à un ravageur effet domino dans la distribution globale des ressources Internet dans tout le réseau Skype.

Aéronautique. En 1998, le vol 111 New-York JFK-Genève Cointrin de Swissair transportant 215 passagers et 14 membres d’équipage s’écrasa dans l’océan Atlantique près de la Nouvelle-Ecosse (Canada). A cause d’un défaut de montage, le circuit électrique du service de divertissement audio/vidéo à bord prit feu et enflamma plusieurs systèmes électriques dans le cockpit du MD-11, alors que tout semblait absolument normal en cabine passagers ! La rapidité de l’incendie fut telle que l’alarme en resta muette, que les pilotes enfermés dans un poste de pilotage en flammes n’eurent même pas le temps d’appréhender la situation et encore moins de rentrer en urgence à l’aéroport de Halifax... Des isolants thermiques défectueux et des négligences dans les protocoles de certification de la FAA furent également mis en cause.

Dans ces quatre cas, on a eu affaire à un enchaînement de probabilités infimes. Or, informatique + aéronautique = avionique. Cette addition-intégration de systèmes complexes et sophistiqués démultiplie nécessairement les risques de failles critiques et nous impose une opération supplémentaire : 330 passagers dans les airs = environ 330 familles au sol. Aujourd’hui, le Boeing 787 Dreamliner a déjà enregistré plus de 800 commandes. La pôle position de l’aviation commerciale doit entrer en service en novembre 2008.

Remercions le ciel que le Dr Loveless et la FAA aient aperçu ces portes entrebâillées vers l’enfer avant quelques « cybairpirates » aussi doués qu’organisés.

Lire aussi :

  1. The Inquirer  : New Boeing 787 vulnerable to hacking

  2. Wired  : FAA : Boeing’s New 787 May Be Vulnerable to Hacker Attack

par Charles Bwele (son site) jeudi 10 janvier 2008 - 43 réactions
yahoo
6%
D'accord avec l'article ?
 
94%
(58 votes) Votez cet article

2 moyens pour donner

Don défiscalisé 10€ ou plus

Obtenez une réduction fiscale de 66% avec un e-reçu. Un don de 10 € ne vous coûte que 3€40.

Grâce à votre aide, AgoraVox peut continuer à publier plus de 1000 articles par mois. En donnant à la Fondation AgoraVox, vous offrez un soutien à la liberté d'expression et d'information.

Les réactions les plus appréciées

  • Par fb (xxx.xxx.xxx.197) 10 janvier 2008 13:11

    Le système de commandes de vol utilise des réseaux spécifiques ayant un protocole propre qui a été testé de façon déterministe (transition d’état avec un délai de latence connu). Aucun ingénieur ne pourrait avoir l’idée de mettre une passerelle entre le réseau vital dûment certifié et le réseau « ludique » destiné aux passagers.

    Qu’il puisse être possible d’intervenir sur des parties non vitales (température cabine, éclairage cabine, récupérer les données de maintenance...) à partir du réseau passager me semble plus beaucoup plus probable en revanche prendre le contrôle du FMS (Flight Management System) .

    Il existe (si je me souviens bien) trois niveaux de certification de l’électronique/informatique de bord :

    • système d’agrément (vidéo, accès Internet...)
    • système non essentiel au vol (essentiellement ceux utilisés par le personnel naviguant commercial),
    • système vital

    Dans cette troisième catégorie, comme je l’écrivais, le système est validé de façon quasi-déterministique dès lors ce dernier doit être fermé et comprendre un nombre de variables raisonnables, ajouter via une passerelle 250 éléments source d’entropie (les passagers) serait totalement contre-productif et stupide.

    Citer comme exemple le MD11 de Swissair ne me semble pas opportun vu que c’est la combinaison de matériaux inappropriés et une consommation électrique excessive qui a conduit à l’incendie initial aggravé par les procédures Swissair qui exigeaient que l’avion largue le kérosène excédentaire avant l’atterrissage d’urgence qui a causé la perte de l’avion. En revanche, de vrais problèmes informatiques il y en a : on peut en particulier citer le 747-400 Air France qui a fait trempette dans le lagon de Papeete après qu’une série d’actions non prévues par le constructeur aient entraîné l’impossibilité de passer la reverse d’un moteur, Airbus n’est pas en reste...

    Donc qu’il soit possible de faire du hacking/cracking depuis le réseau passager sur les systèmes non vitaux pourquoi pas, mais toucher aux commandes de vol j’ai du mal à y croire.

    Lire le commentaire dans son contexte
    Réagir à l'article Réagir à ce message Signaler un abus
  • Par Charles Bwele (xxx.xxx.xxx.14) 10 janvier 2008 11:55
    Charles Bwele

    Hi

    La séparation des réseaux avioniques cockpit et des réseaux Internet passagers..Oui, c effectivement ce qu’envisagent Boeing et la FAA. J’ai oublié de le signaler dans ma rédaction.

    Pourquoi diable Boeing n’y avait pas pensé avant ? Compression des coûts peut-être ?

    Lire le commentaire dans son contexte
    Réagir à l'article Réagir à ce message Signaler un abus
  • Par Brif (xxx.xxx.xxx.66) 10 janvier 2008 11:02

    En effet, on peut frémir ! Serait-il si stupide d’envisager une séparation totale, physique, entre les systèmes de pilotage et de contrôle d’un côté, et les éventuels systèmes de loisir en cabine passager ?

    Lire le commentaire dans son contexte
    Réagir à l'article Réagir à ce message Signaler un abus
  • Par Charles Bwele (xxx.xxx.xxx.14) 10 janvier 2008 14:26
    Charles Bwele

    Achtung Sir !

    Vos observations sont d’une pertinence implacable...

    J’ai pris l’exemple de l’incendie du circuit électrique du vol 111 pour signifier que très souvent les accidents d’avions sont dus à des enchaînements d’incidents tellement infimes qu’il est parfois très difficile d’y penser...avant l’enquête suivant le crash.

    Loin de moi toute idée de mettre sur le même plan un hacking/un bogue FMS via le WiFi passagers avec cet incendie du circuit électrique du MD-11. En effet, prendre le contrôle du FMS via un PC portable en cabine est effectivement autre chose. Toutefois, il vaut mieux s’alarmer des défauts connectiques du B-787 plutôt que ranger X ou Y éventualité dans les profondeurs probabilistes... Enore une fois, j’écris cela sans remettre en cause la remarquable justesse de vos observations.

    Amicalement.

     

    Amicalement

     

    Lire le commentaire dans son contexte
    Réagir à l'article Réagir à ce message Signaler un abus
Réagissez à l'article

Réactions à cet article

Ajouter une réaction

Pour réagir, identifiez-vous avec votre login / mot de passe, en haut à droite de cette page

Si vous n'avez pas de login / mot de passe, vous devez vous inscrire ici.


Faites un don

Auteur de l'article

Charles Bwele

Charles Bwele

Consultant TI/télécom, designer multimédia, rédacteur du blog Électrosphère. Co-fondateur et administrateur de AllianceGeostrategique.org, webzine de géopolitique, de défense et de sécurité.

Voir ses articles, sa fiche et ses statistiques

Derniers articles de l'auteur

Tous les articles de cet auteur

A lire dans la même rubrique

Technologies
Voir tous les articles de la rubrique

Les thématiques de l'article

Aeronautique Etonnant Science et techno

Sondage

Pour quel candidat pensez-vous voter à l’élection présidentielle de 2012 ?


Voter

Palmarès

Derniers commentaires

Voir tous les derniers commentaires...

Les vidéos pop du web

Chantage à l'antisémitisme : Maître Vergès vire le journaliste de chez lui !

Patrick Mennucci, PS, accuse Cheminade d'antisémitisme

Jovanovic & Soral - Revue de Presse Février 2012

Vague de froid : un fort risque de black-out

Alain Ménargue ex-directeur de l'info de RFI revient sur son éviction

Cerveau gauche et cerveau droit

L'Exploitation des Forêts

Jay Parker : Conférence sur le S.R.A. (Abus Rituel Satanique)

La moralité du capitalisme

Les 4 accords

Le TVNet Face Bouc Show n°10

Albert Einstein s'exprime sur Gandhi

Agoravox.tv
  • Groupe Agoravox sur Facebook
  • Agoravox sur Twitter
  • Agoravox sur Twitter
  • Agoravox Mobile

Agoravox utilise les technologies du logiciel libre : SPIP, Apache, Debian, PHP, Mysql, FckEditor.


Site hébergé par la Fondation Agoravox