Les Boeing 747-400 sont l’un des plus grands succès de la compagnie américaine, dont la plupart ne volent plus. Ils ont fait l’objet d’une attention particulière lors de la conférence virtuelle du DEF CON la semaine passée. Bien que ces avions ne soient pas normalement accessibles aux chercheurs de l’Infosecurity, une compagnie aérienne du Royaume-Uni voulant mettre à la casse sa flotte de Boeing 747 a permis à quelques-uns parmi eux de faire un tour à bord d’un de ces avions. Cela a permis à Pen Test Partners de se faire une idée de l'infrastructure qu’il embarque.
À bord, Alex Lomas du Pen Test Partners a remarqué que ces engins utilisaient toujours des disquettes de 3,5 pouces pour charger des bases de données de navigation essentielle. Ces bases de données doivent être mises à jour tous les 28 jours, ce qui représente une corvée pour un ingénieur. Une visite rapide de la soute avionique, qui se trouve sous le plancher du pont inférieur des passagers, a révélé la présence d’un ensemble d'unités et de câblages remplaçables en ligne digne d'une salle de serveurs. Ce qui contredit beaucoup de choses qu’on voit dans les films.
« Vous ne pouvez pas juste accrocher une paire de fils à l'arrière de l'avion et accéder à tout cela », a-t-il déclaré. Les chercheurs se sont alors penchés sur la question de savoir si l’on peut pirater un avion de ligne depuis les sièges marchands grâce à l’IFE (in-flight entertainment ou divertissement à bord). Selon Lomas, ils n’ont pas encore trouvé le moyen de le faire. De ce qu’il a vu, il a déclaré qu’il n’y a pas de communication bidirectionnelle entre les systèmes du domaine passagers comme l'IFE et le domaine de contrôle de l’avion.
Il a ajouté que la DMZ du domaine des services d'information se trouve entre les deux. Selon lui, il serait très délicat de sauter entre deux couches de ségrégation. Toutefois, malgré son intervention, d’autres parmi les participants ont essayé de réaliser cet exploit. L’un d’eux, un chercheur d'Infosecurity d'une université écossaise a déployé une technique bien connue de pentesting (test d'intrusion) à l’encontre du matériel de l'IFE au départ d'un vol transatlantique de neuf heures. Ce dernier n’a pas réussi à pirater le système et de surcroît à endommager son propre écran.
Les chercheurs du Pen Test Partners ont conclu qu’il y a une longue histoire de technologies obsolètes qui ont été conservées parce qu'elles sont intégrées dans quelque chose de plus grand et qui fonctionnent bien, comme à bord du navire de recherche HMS Enterprise de la Royal Navy. Le logiciel d'étude d’Enterprise, basé sur Windows ME, aide maintenant les autorités portuaires de Beyrouth à évaluer les dommages causés par la désastreuse explosion de nitrate d'ammonium au début de ce mois.
Source : Vidéo
Et vous ?
Qu'en pensez-vous ?
Voir aussi
Des messages texte montrent que des employés de Boeing étaient au courant en 2016 des problèmes qui ont conduit aux accidents mortels du 737 Max liés au MCAS
Boeing a tellement de 737 Max immobilisés et en attente de révision qu'il utilise le parking de ses employés pour stocker les avions
Le logiciel de vol du 737 Max est défectueux, car Boeing a confié le travail à des ingénieurs payés 9 $/h ? Oui, selon d'anciens employés du groupe