Si l’ensemble des acteurs de l’industrie s’accorde aujourd’hui pour juger la tentative de piratage de Chris Roberts peu crédible, le lancement d’une enquête par le FBI l’année dernière a fait couler beaucoup d’encre. Le pirate américain s’était vanté d’avoir accédé en vol aux systèmes vitaux d’un appareil de la compagnie United Airlines et d’en avoir pris le contrôle durant quelques secondes, jusqu’à influencer la position des manettes de poussée, grâce à un branchement direct sur le système de divertissement (IFE).
La multiplication des systèmes connectés à bord des avions commerciaux (connectivité en cabine, EFB…) ainsi que l’arrivée prochaine des WAIC (lire l’article : Avionique : la révolution des WAIC est en marche) est évidemment une source de préoccupations particulières depuis des années pour l’ensemble des industriels de l’avionique. L’OACI et l’International Coordinating Council of Aerospace Industries Associations (ICCAIA), associés à des organismes comme l’IATA, le CANSO et l’ACI, se sont déjà mis d’accord sur un plan d’action fin 2014, le Civil Aviation Cybersecuriy Action Plan. Il en va de même en Europe avec le plan d’action conjointement adopté en décembre dernier par l’AESA et l’ASD, le Cybersecurity roadmap draft.
Pour Bruno Nouzille, le Directeur Technique de Thales Avionics qui participait à une réunion organisée par l’Association des Journalistes Professionnels de l’Aéronautique et de l’Espace (AJPAE ) en janvier dernier, « nous partons du principe qu’une attaque de ce type est possible afin de mieux nous prémunir contre le risque ». Selon lui, les réponses à apporter doivent être globales, tant les systèmes sont, ou seront, interconnectés (ATC, connectivité dans le cockpit…), de la même façon que « la safety est dans les gènes de tous les acteurs de l’industrie aéronautique ».
Bruno Nouzille rappelle aussi que les menaces liées aux cyberattaques ne se cantonnent pas aux seules intrusions potentielles des passagers depuis la cabine, des actes malveillants pouvant aussi émaner des terminaux portables utilisés par l’équipage ou lors d’opérations de maintenance (insertion de virus ou d’informations volontairement erronées…) . Il s’agit d’une part de protéger l’ensemble des interfaces connectées à l’avion avec « le monde ouvert » mais aussi d’intégrer des défenses « en profondeur » dans l’avionique.
Si ces dernières ne peuvent évidemment être rendues publiques, Bruno Nouzille a cependant indiqué qu’en plus de défenses périmétriques classiques de type firewalls, des systèmes de détection et de protection de l’avionique critique seraient aussi développés sous la forme de détecteurs physiques spécifiques pour contrer des accès anormaux, notamment avec des sondes spéciales au niveau des équipements.
Un autre axe important de mesures liées à la réduction du risque est le maintien dans le temps de la sûreté des équipements embarqués sécurisés. Le but est de surveiller et de s’adapter à la menace, d’établir des correctifs, à l’image des missions du CERT (Computer Emergency Response Team) de Thales implanté à Toulouse et qui emploie notamment des hackers. Thales emploie aujourd’hui plus de 1500 experts en cybersécurité à travers le monde, afin d’assurer la protection de systèmes critiques, notamment pour la défense. Le groupe est aussi responsable, rappelons-le, de la sécurisation de 80% des transactions bancaires au niveau mondial.
