Y a-t-il un hacker aux commandes de l'avion?

Transports Canada ne veut surtout pas en parler publiquement, mais il s'intéresse aux travaux d'un hacker qui dit avoir mis au point une technique permettant de pirater l'ordinateur de bord d'un avion commercial et, potentiellement, de le faire disparaître avec tous ses occupants, comme il est arrivé au vol MH370 de Malaysia Airlines.

C'est ce qui ressort d'une «évaluation de renseignement» de la Direction de l'évaluation du renseignement de sûreté de Transports Canada, datée de mai dernier et obtenue par La Presse en vertu de la Loi sur l'accès à l'information.

«La présentation, en avril 2013, d'un projet appelé Le hacking d'un avion: séries aériennes pratiques par le consultant en sécurité et pilote commercial Hugo Teso, au congrès de pirates informatiques Hack In The Box, à Amsterdam, a pris plusieurs organisations de sécurité des transports par surprise», souligne le document.

Dans sa présentation, le hacker et consultant allemand avait expliqué comment il avait pu prendre le contrôle d'un ordinateur de bord d'avion en utilisant une simple application pour téléphone Android et un transmetteur acheté pour une bouchée de pain sur eBay.

Testé sur un simulateur de vol

Ses tests avaient été effectués dans un environnement fermé sur un simulateur de vol professionnel qui fonctionne avec les mêmes modes de communication et les mêmes systèmes informatisés que les avions. Le hacker estimait «non éthique» de tester la manoeuvre sur un vrai aéronef.

Le site spécialisé HelpNetSecurity avait souligné sa «capacité terrifiante de prendre le contrôle total d'un aéronef virtuel en le faisant danser à son gré». Il pouvait envoyer des commandes à l'ordinateur de bord, donner un nouveau cap au pilote automatique et même lui faire exécuter des manoeuvres en direct à partir de son téléphone portable.

Les travaux d'Hugo Teso avaient fait grand bruit dans les milieux spécialisés en sécurité informatique, l'an dernier, mais le mystère entourant la disparition du vol MH370 de Malaysia Airlines leur a donné un nouvel élan (M. Teso a dû expliquer à plusieurs reprises qu'il est absolument improbable que sa technique ait été utilisée dans ce cas.)

Dans leur évaluation de renseignement, les experts de Transports Canada précisent que leur but n'est pas de confirmer ou d'infirmer la faisabilité d'un tel piratage.

La Federal Aviation Administration américaine s'est déjà faite rassurante en déclarant que les véritables avions disposent d'une protection supplémentaire contre le piratage que n'ont pas les simulateurs de vol, sans en préciser la nature.

À surveiller de près

Mais les analystes de Transports Canada ne sont pas rassurés pour autant.

«La tendance [amorcée] il y a environ 10 ans, selon laquelle les hackers s'intéressent aux enjeux de sécurité des transports se poursuivra probablement», écrivent-ils. Ils recommandent de suivre de près l'évolution de leurs travaux.

«L'évaluation des vulnérabilités liées au transport exposées dans les conférences de hackers nécessitera une surveillance continue de ces conférences et une évaluation en profondeur par les experts», disent-il.

La Presse a demandé à Transports Canada ses commentaires sur les travaux de M. Teso, cette semaine. Une première porte-parole a dit que l'organisme travaillait sur notre demande et espérait fournir une réponse «dans les meilleurs délais». Elle nous a demandé de retarder la publication de notre article afin de donner plus de temps aux fonctionnaires pour réagir.

Le lendemain, une nouvelle porte-parole, Karine Martel, a pris le relais et déclaré qu'il n'y aurait aucune discussion à ce sujet. «Transports Canada exige que les compagnies aériennes disposent de mesures de sécurité adéquates. Pour des raisons de sûreté, nous ne pouvons pas les divulguer», a-t-elle écrit dans un courriel.

Joint par La Presse, le hacker-consultant Hugo Teso a déclaré qu'aucune compagnie ou agence gouvernementale canadienne n'est entrée en contact avec lui pour discuter de la vulnérabilité des ordinateurs de bord d'avions. «À ma connaissance, aucune mesure n'a été prise dans la foulée de mes recherches», a-t-il dit.

«L'enjeu demeure pertinent et empire avec le temps. Il peut sembler normal que des systèmes d'aviation datant des années 70 aient des failles de sécurité [...] Ce que je trouve plus inquiétant, c'est que les systèmes développés actuellement semblent souffrir du même manque complet de sécurité que les anciens», a-t-il expliqué.

- Avec la collaboration de William Leclerc