Les cyberpirates, une menace nouvelle pour les avions

Avions détournés à distance par un cyberpirate ou depuis un siège passager en perturbant les commandes de vol... constructeurs et experts testent tous les scénarios catastrophe face à un risque cyber envahissant.

Certains de ces scénarios relèvent de la science-fiction, d'autres sont «peu» probables, mais dans tous les cas, le secteur ne peut plus ignorer une menace de plus en plus intrusive, susceptible de perturber les avions, le trafic aérien mais aussi la chaîne de production en amont.

Le secteur «est soumis à de très nombreuses attaques, quotidiennes. Les attaquants se comportent de plus en plus comme des guerriers. On est dans des stratégies militaires de renseignement et d'attaque», a estimé Alain Robic, expert en cyberdéfense chez Deloitte Conseil, lors d'une présentation au salon aéronautique du Bourget (15-21 juin).

À l'instar d'autres transports, l'aérien est de plus en plus exposé du fait des interconnexions croissantes entre les systèmes d'information et de commandes (instruments de bord, contrôle aérien, processus de production, approvisionnement, etc.).

Un expert américain en sécurité, Chris Roberts, a semé l'émoi dernièrement en affirmant avoir pris le contrôle des commandes moteurs d'un Boeing 737 depuis le système de divertissement audio/vidéo installé à bord de l'avion, et d'en avoir ainsi modifié la trajectoire.

Il a été suffisamment pris au sérieux pour que le FBI l'auditionne, même si les professionnels du secteur contestent avec véhémence la crédibilité de ses affirmations.

Le drone, nouvelle menace 

«On a mis tellement de barrières pour dissocier ce qu'est le cockpit et la cabine, bien isoler les deux parties. Ce serait extrêmement difficile de ''hacker'' (pirater) un avion et d'en prendre la commande», a souligné Jean Botti, directeur général délégué Technologie et Innovation chez Airbus, lors de la conférence Paris Air Forum vendredi.

Les hackers maison - dits «éthiques» - d'Airbus ont pourtant testé avec succès ce scénario lors du développement du très gros porteur A380 en 2005. Les ingénieurs ont alors très vite séparé les systèmes à bord pour qu'un tel risque ne se reproduise plus, raconte Alain Robic.

Autre facteur de risque, le contrôle aérien: un pirate pourrait ainsi glisser ou retirer un avion sur un écran radar et perturber le trafic. «Plutôt que de monter dans un avion pour s'écraser sur le World Trade center, on pourrait imaginer le faire du sol, en déclenchant un accident», note l'expert de Deloitte Conseil.

David Stupples, professeur spécialisé en électronique à la City University de Londres, travaille de son côté sur les drones qui pourraient interférer avec les systèmes de commandes des avions via un signal radio.

«Si on arrive à perturber un avion à l'approche du sol en lui envoyant ce genre de signal, cela pourrait-il provoquer un accident? Ma réponse est oui», affirme M. Stupples.

Plus que des intrusions externes, les experts redoutent surtout des actes de malveillance d'employés ou sous-traitants qui interviennent sur les systèmes, notamment pour la maintenance.

Un pilote dans l'avion 

«Un employé déstabilisé dans sa vie privée (divorce, problèmes financiers, etc.) pourrait être tenté de rendre des ''services'' en échange de quelques ''kilo-euros'' (des milliers d'euros, NDLR). Dans le secteur aéronautique, on surveille tout cela d'assez près», souligne Alain Robic.

Les systèmes informatiques des compagnies aériennes s'avèrent toutefois très complexes et seule une poignée de personnes ont l'expertise nécessaire pour y introduire des virus (malware), relève M. Stupples.

Et même si un tel scénario se concrétisait, «il y a heureusement toujours un homme dans la machine qui peut reprendre manuellement le contrôle», souligne Charles Préaux, directeur de la formation Cyberdéfense à l'Université de Bretagne Sud.

Ce spécialiste pointe une autre difficulté, l'exposition de systèmes conçus dans les années 2000, voire auparavant, à des risques sans cesse nouveaux. «Quand on conçoit ou réalise un système, on prend en compte les scénarios d'attaques connus, probables. Le problème, c'est toutes les menaces qui arrivent après et n'ont pas été prises en compte dans la phase d'ingéniérie», dit-il.

Si le grand public se focalise sur les scénarios catastrophes, les entreprises ont surtout en tête des cyberattaques plus immédiates et concrètes, qui relèvent de l'espionnage économique ou du sabotage.

L'attaquant peut chercher à voler des secrets industriels, commerciaux, à débaucher des salariés performants, voire à stopper une chaîne de montage. «Vous imaginez les conséquences si on bloque l'usine d'A320?», lance Alain Robic.