Le Department of Homeland Security a émis mardi une alerte de sécurité pour les petits avions, avertissant que les systèmes de vol modernes sont vulnérables au piratage si quelqu'un parvient à accéder physiquement à l'avion.

Une alerte de l'équipe d'intervention d'urgence informatique des infrastructures critiques du DHS recommande aux propriétaires d'avions de s'assurer qu'ils restreignent l'accès physique non autorisé à leur avion jusqu'à ce que l'industrie développe des mesures de protection pour résoudre le problème, qui a été découvert par une société de cybersécurité basée à Boston et signalé au gouvernement fédéral.

La plupart des aéroports ont mis en place des mesures de sécurité pour restreindre les accès non autorisés et il n'y a aucune preuve que quiconque ait exploité la vulnérabilité. Mais un responsable du DHS a déclaré à l'Associated Press que l'agence avait confirmé de manière indépendante la faille de sécurité avec des partenaires extérieurs et un laboratoire de recherche national, et a décidé qu'il était nécessaire d'émettre l'avertissement.

La société de cybersécurité, Rapide7, a découvert qu'un attaquant pouvait potentiellement perturber les messages électroniques transmis sur le réseau d'un petit avion, par exemple en attachant un petit appareil à son câblage, qui affecterait les systèmes de l'avion.

Lectures moteur, données de boussole, l'altitude et d'autres lectures " pourraient toutes être manipulées pour fournir de fausses mesures au pilote, " selon l'alerte DHS.

L'avertissement reflète le fait que les systèmes d'aéronefs dépendent de plus en plus des systèmes de communication en réseau, un peu comme les voitures modernes. L'industrie automobile a déjà pris des mesures pour répondre à des préoccupations similaires après que des chercheurs ont exposé des vulnérabilités.

Le rapport Rapid7 s'est concentré uniquement sur les petits avions car leurs systèmes sont plus faciles à acquérir pour les chercheurs. Les gros aéronefs utilisent fréquemment des systèmes plus complexes et doivent répondre à des exigences de sécurité supplémentaires. L'alerte DHS ne s'applique pas aux petits avions plus anciens dotés de systèmes de contrôle mécaniques.

Mais Patrick Kiley, Le chercheur principal de Rapid7 sur la question, a déclaré qu'un attaquant pourrait exploiter la vulnérabilité en accédant à un avion ou en contournant la sécurité de l'aéroport.

"Quelqu'un avec cinq minutes et un jeu de crochets peut accéder (ou) il y a facilement accès par le compartiment moteur, " dit Kiley.

Jeffrey Troy, président du Centre de partage et d'analyse de l'information aéronautique, une organisation de l'industrie pour les informations de cybersécurité, a déclaré qu'il était nécessaire d'améliorer la sécurité des systèmes d'exploitation en réseau, mais a souligné que le piratage dépend du contournement des contrôles de sécurité physique mandatés par la loi.

Avec accès, "vous avez des centaines de possibilités pour perturber n'importe quel système ou partie d'un avion, " dit Troie.

La Federal Aviation Administration a déclaré dans un communiqué qu'un scénario dans lequel quelqu'un aurait un accès physique illimité est peu probable, mais le rapport est également "un rappel important de rester vigilant" sur les procédures physiques et de cybersécurité des aéronefs.

La cybersécurité de l'aviation est un problème de plus en plus préoccupant dans le monde.

En mars, l'inspecteur général du Département des transports des États-Unis a constaté que la FAA n'avait « pas effectué un examen complet, cadre stratégique pour identifier et atténuer les risques de cybersécurité. » La FAA a accepté et a déclaré qu'elle chercherait à mettre en place un plan d'ici la fin septembre.

L'organe de l'ONU pour l'aviation a proposé sa première stratégie pour sécuriser l'aviation civile contre les pirates informatiques qui devrait être présentée à l'Assemblée générale en septembre, dit Pete Cooper, un ancien pilote de jet rapide de la Royal Air Force et officier des cyberopérations qui conseille l'industrie aéronautique.

Le rapport de divulgation de vulnérabilité est le produit de près de deux ans de travail par Rapid7. Après que leurs chercheurs ont évalué le défaut, la société a alerté le DHS. L'alerte DHS de mardi recommande aux fabricants de revoir la manière dont ils mettent en œuvre ces systèmes électroniques ouverts connus sous le nom de "bus CAN" pour limiter la capacité d'un pirate informatique à effectuer une telle attaque.

Le bus CAN fonctionne comme le système nerveux central d'un petit avion. Le cibler pourrait permettre à un attaquant de détourner furtivement les relevés d'instruments d'un pilote ou même de prendre le contrôle de l'avion, selon le rapport Rapid7 obtenu par l'AP.

"Le bus CAN est complètement non sécurisé, " a déclaré Chris King, un expert en cybersécurité qui a travaillé sur l'analyse de vulnérabilité des systèmes à grande échelle. "Il n'a jamais été conçu pour être dans un environnement accusatoire, (donc il n'y a) aucune validation" que ce qu'on dit au système de faire vient d'une source légitime.

Il y a seulement quelques années, la plupart des constructeurs automobiles utilisaient le système de bus CAN ouvert dans leurs voitures. Mais après que les chercheurs aient démontré publiquement comment ils pouvaient être piratés, les constructeurs automobiles ont ajouté des couches de sécurité, comme mettre des fonctions critiques sur des réseaux séparés qui sont plus difficiles d'accès de l'extérieur.

La divulgation met en évidence les problèmes dans les industries de l'automobile et de l'aviation quant à savoir si une vulnérabilité logicielle doit être traitée comme un défaut de sécurité - avec son potentiel de rappels coûteux du fabricant et sa responsabilité implicite - et quelle responsabilité les fabricants devraient avoir pour s'assurer que leurs produits sont renforcés contre de telles attaques. La vulnérabilité met également en évidence le fait qu'il devient de plus en plus difficile de séparer la cybersécurité de la sécurité globale.

"Beaucoup de gens de l'aviation ne voient pas le chevauchement entre la sécurité de l'information, la cyber-sécurité, d'un avion, et la sécurité, " a déclaré Beau Woods, chercheur en innovation en cybersécurité avec l'Atlantic Council, un groupe de réflexion de Washington. "Ils les voient comme des choses distinctes."

Le schéma de mise en réseau du bus CAN a été développé dans les années 1980 et est extrêmement populaire pour une utilisation dans les bateaux, drones, vaisseau spatial, les avions et les voitures - toutes les zones où il y a plus d'interférences sonores et où il est avantageux d'avoir moins de câblage. Il est en fait de plus en plus utilisé dans les avions aujourd'hui en raison de la facilité et du coût de mise en œuvre, dit Kiley.

Étant donné que les avions ont un cycle de fabrication plus long, "Ce que nous essayons de faire, c'est de prendre de l'avance."

Le rapport n'a pas nommé les fournisseurs testés par Rapid7, mais l'entreprise les a alertés il y a plus d'un an, indique le rapport.

© 2019 La Presse Associée. Tous les droits sont réservés.