Des hackers peuvent contrôler un avion en exploitant une vulnérabilité
Présente dans un système de divertissement pour avions de ligne

Le , par Coriolan, Chroniqueur Actualités
Et si des hackers prenaient le contrôle de votre avion, un scénario digne d'Hollywood, mais tout à fait plausible selon Ruben Santamarta, un chercheur en sécurité de IOActive. Il a découvert une vulnérabilité dans un système de divertissement pour avion développé par Panasonic ; cette faille pourrait permettre à un hacker d’infiltrer les systèmes d’avion et même le contrôler, selon le chercheur.


Le système en question serait utilisé par treize compagnies aériennes majeures. En explorant le problème, le chercheur a réussi à détourner les écrans de bord de l’avion et changer les informations affichées comme l’altitude et la localisation. Il a réussi aussi à ajuster la luminosité des cabines et envoyer des annonces aux passagers via les canaux de communication de l’avion. Cette vulnérabilité permettra ainsi de mettre à mal la sécurité et le confort des passagers. Le système en question est utilisé par des compagnies aériennes comme Aerolineas Argentinas, Air France, American Airlines, Emirates, Etihad, FinnAir, KML, Iberia, Qatar, Scandinavian, Singapore, United, et Virgin.

Santamarta a également exploité la même faille pour accéder à des registres des cartes de crédit des voyageurs enregistrés dans le système automatique de paiement. Le pire, c’est qu’il a précisé qu’il est tout à fait possible d’exploiter la vulnérabilité pour prendre le contrôle de l’avion. « Je ne crois pas que ces systèmes puissent résister des attaques solides de la part de hackers compétents », a dit le chercheur. « Cela dépend surtout de la détermination et des intentions de l’attaquant ; d’un point de vue technique, c’est totalement faisable. »

Santamarta a précisé que c’est le rôle des compagnies aériennes de limiter la portée des attaques au cas où une infiltration a eu lieu. Malgré le fait qu’un attaquant peut prendre le contrôle d’un avion, des mesures préventives peuvent être prises pour éviter ce scénario. L'étendue des dégâts est étroitement liée à l’isolation des systèmes de l’avion par les compagnies aériennes. À titre d’exemple, le système de divertissement des passagers ne devra jamais être connecté aux appareils de ces derniers ou encore le contrôle de l’avion, mais parfois, c’est exactement le cas. En conséquence, Santamarta prévient que les compagnies aériennes devront être plus vigilantes vis-à-vis de cette situation. Panasonic pour sa part a été informée de l’existence de ces vulnérabilités depuis mars 2015, mais on ne connait pas les mesures prises par la firme.

Ce n’est pas la première fois que Santamarta a découvert des vulnérabilités de sécurité dans des systèmes d’avion. En 2014, lorsqu’il a commencé à s’intéresser aux systèmes d’avion, il a réussi à déceler des centaines de failles rendues publiques à des compagnies aériennes majeures. Il a notamment découvert qu’il est possible de recourir à l’ingénierie inverse pour pirater l’avion à travers les systèmes de communication par satellite. Il a démontré que le réseau Wifi de l’avion et son système de divertissement peuvent être exploités pour pirater les communications satellites ou encore prendre le contrôle du système de navigation.

Durant les dernières années, des cas d’avions détournés ont été signalés. En 2015, un hacker notoire a réussi à manipuler un avion pour faire une série de manœuvres ; il a dû exploiter une faille similaire liée au système de divertissement à bord de l’avion. Chris Roberts, fondateur de la firme de cyber sécurité One World Labs a été empêché de prendre un vol d’United Airlines après avoir envoyé un tweet où il s’est vanté de pouvoir déployer les masques d’oxygène.

Source : The Telegraph

Et vous ?

Qu'en pensez-vous ?

Voir aussi :

Forum Sécurité


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de gangsoleil gangsoleil - Modérateur https://www.developpez.com
le 20/12/2016 à 14:01
Bonjour,

Il faut distinguer les 2 attaques, qui sont différentes : la première permet de gêner les passagers, mais ne permet pas de prendre le contrôle de l'avion.

La seconde en revanche, montre un évident problème de design : dans un système comme un véhicule, il est absolument nécessaire de séparer le réseau "ludique" du réseau de contrôle de l'avion, ce qui n'a visiblement pas été fait. C'est le même genre de problème qui avait permis le piratage d'une jeep il n'y a pas si longtemps.

Naïvement, j'osais espérer que sur des systèmes "life critical", cela était la norme. Encore une fois, je me mettais le doigt dans l'œil jusqu'au coude (voir plus), et seuls la rentabilité compte, peu importent les risques que cela fait prendre. En même temps, si un avion s'écrase à cause d'un tel piratage, avant que ce ne soit prouvé, de l'eau aura coulé sous les ponts.
Avatar de mverhaeghe mverhaeghe - Membre habitué https://www.developpez.com
le 20/12/2016 à 15:11
Il y a des choses qui me choquent dans cet article :

Déjà, ce ne sont pas les compagnies aériennes qui sont responsable du design d'architecture des systèmes embarqués d'un avion, ce sont les avionneurs eux-mêmes. Aujourd'hui, les deux principaux sont Boeing et Airbus. Je sais qu'Airbus cloisonne ses systèmes justement pour éviter des détournements de ce genre (qui sont juste un cauchemar pour n'importe qui), donc ce n'est pas techniquement pas possible de basculer depuis le système de divertissement de l'avion vers le système de contrôle et de pilotage.
Je n'imagine pas non plus Boeing avoir une faille pareille dans ses appareils, c'est trop gros et ne respecte pas les standards de l'industrie.

Donc faire un piratage du système d'affichage des vidéos et à la limite des lumières, ok mais prendre le contrôle d'un appareil, j'y crois pas une seule seconde. D'autant plus que l'article ne mentionne aucune preuve de ça, tout au plus une supposition du hacker.
Avatar de Lcf.vs Lcf.vs - Membre éprouvé https://www.developpez.com
le 20/12/2016 à 15:20
C'est donc ça, du hacking high-level?
Avatar de Iradrille Iradrille - Expert confirmé https://www.developpez.com
le 21/12/2016 à 5:55
Citation Envoyé par mverhaeghe  Voir le message
Je n'imagine pas non plus Boeing avoir une faille pareille dans ses appareils, c'est trop gros et ne respecte pas les standards de l'industrie.

Tout comme personne ne stock de mots de passe en clair.

Tant que ce genre de chose ne sera pas puni sévèrement, ça va continuer.
Ici, dans le pire des cas un dev ou une équipe de dev se ferra virer (mais plus probablement, seule la personne reportant la vulnérabilité sera poursuivie).
Avatar de heiwa heiwa - Futur Membre du Club https://www.developpez.com
le 21/12/2016 à 9:52
Citation Envoyé par mverhaeghe  Voir le message
Il y a des choses qui me choquent dans cet article :

Déjà, ce ne sont pas les compagnies aériennes qui sont responsable du design d'architecture des systèmes embarqués d'un avion, ce sont les avionneurs eux-mêmes. Aujourd'hui, les deux principaux sont Boeing et Airbus. Je sais qu'Airbus cloisonne ses systèmes justement pour éviter des détournements de ce genre (qui sont juste un cauchemar pour n'importe qui), donc ce n'est pas techniquement pas possible de basculer depuis le système de divertissement de l'avion vers le système de contrôle et de pilotage.
Je n'imagine pas non plus Boeing avoir une faille pareille dans ses appareils, c'est trop gros et ne respecte pas les standards de l'industrie.

Donc faire un piratage du système d'affichage des vidéos et à la limite des lumières, ok mais prendre le contrôle d'un appareil, j'y crois pas une seule seconde. D'autant plus que l'article ne mentionne aucune preuve de ça, tout au plus une supposition du hacker.

Au moindre doute les appareils sont cloués au sol, l'aéronautique fonctionne ainsi depuis toujours.
Sinon autant croire aux chemtrails....
Avatar de gangsoleil gangsoleil - Modérateur https://www.developpez.com
le 21/12/2016 à 16:11
Citation Envoyé par heiwa  Voir le message
Au moindre doute les appareils sont cloués au sol, l'aéronautique fonctionne ainsi depuis toujours..

Ah bon ? Il n'existe aucun contre-exemple ?

Exemple similaire : en France, il est obligatoire d'avoir les manuels obligatoires en version papier. Aux États-Unis, il est obligatoire d'avoir les manuels. Une compagnie américaine, qui assure des vols intérieurs, a ainsi vu tous ses avions cloués au sol à cause d'un bug dans la mise à jour de son application mobile... Eh oui, car les manuels de vols (ou autres obligatoires, je ne suis pas pilote) sont désormais sur une application sur une tablette... Et l'application ne pouvait plus se lancer.
Avatar de bbalet bbalet - Membre actif https://www.developpez.com
le 22/12/2016 à 6:24
Les lumières sont contrôlées par... Un interrupteur. Dans certains avions il y a certes un pc qui les actives, mais il n'est pas en réseau, il se contente de contrôler des relais.
Même s'il y a des centaines de PC dans un avion, ils ne sont pas forcément en réseau et s'il le sont, le type de "réseau" (plutôt un bus, voire un système de diffusion radio) est différent selon l'équipement : ARINC, CAN, etc.
Certains sont en lecture ou en écriture seule (annonces).
Les réseaux sont séparés. Il ne faut pas être impressionné par les PA qui mettent en pause le système, c'est souvent un simple lien audio.
Après, que le système de divertissement soit pourri, c'est probable.
Avatar de gangsoleil gangsoleil - Modérateur https://www.developpez.com
le 22/12/2016 à 9:12
Ce qui est surprenant, c'est qu'il y ait des gens qui croient que parce que c'est de l'aéronautique, les règles sont plus respectées qu'ailleurs.

D'ailleurs, les systèmes sont tellement bien séparés que pour le boeing 787-8, l'administration fédérale américaine écrit :
unusual design features are associated with connectivity of the passenger
domain computer systems to the airplane critical systems and data
networks

Je te laisse lire : https://www.gpo.gov/fdsys/pkg/FR-200...l/E7-25467.htm

Et puis ce n'est pas parce qu'il y a une norme qui dit "il faut séparer les réseaux" que c'est la réalité. Sinon, on vivrait dans le monde des bisounours.
Avatar de karl1 karl1 - Candidat au Club https://www.developpez.com
le 22/12/2016 à 12:32
Bonjour,

je pense qu'il serait plus approprié de dire des personnes mal attentionnées et qui connaissent,
l'informatique pourrait prendre le control d'un avion.Pourquoi stigmatiser les hackers toujours
comme malveillant, il serait plus intelligent de faire attention que l'on écrit et ce que l'on dit.
Sinon merci à toutes l'équipe de Developpez.com le site est vraiment très intéréssent.
Avatar de MClerc MClerc - Membre à l'essai https://www.developpez.com
le 24/12/2016 à 8:49
« liée à l’isolation des systèmes »
Ils sont trop chauds ?
Se méfier des faux amis franglais.
Offres d'emploi IT
Architecte technique des systèmes d'information H/F
Safran - Ile de France - Évry (91090)
Architecte sécurité des systèmes d'information embarqués H/F
Safran - Ile de France - 100 rue de Paris 91300 MASSY
Ingénieur analyste programmeur (H/F)
Safran - Auvergne - Montluçon (03100)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil