EurActiv.fr

Actualités & débats européens dans votre langue

01/10/2016

L’aviation subit 1000 cyberattaques par mois

Innovation & Entreprises

L’aviation subit 1000 cyberattaques par mois

L’agence européenne de sécurité des avions demande que les menaces informatiques contre les compagnies aériennes et les aéroports soient prises au sérieux.

Des avions infectés par des virus, des brèches de sécurité aux États-Unis, en Turquie, en Espagne, en Suède, et récemment en Pologne…ces dernières semaines, les problèmes informatiques se sont multiplié, entraînant retards, pertes d’informations. Et surtout une grande inquiétude des autorités publiques, des régulateurs et de l’industrie.

La crainte d’un futur dans lequel les terroristes pourraient provoquer des crashs d’avions à distance est de plus en plus palpable.

« Nous devons toujours nous préparer au pire », a confié Luc Tytgat, directeur de la gestion de la stratégie et de la sécurité à l’agence européenne de la sécurité aérienne (EASA).

Pour donner une idée de l’ampleur du défi, il a affirmé que les systèmes de l’aviation étaient sujets à 1 000 attaques par mois en moyenne.

« Nous devons prendre cela au sérieux », a-t-il averti, pressant tous les partenaires de l’EASA et les experts informatiques dans les États membres à développer « une entente commune » pour la gestion des risques et le partage des informations.

« Nous n’avons pas beaucoup de temps », a-t-il insisté.

Depuis quelques années, élaborer une stratégie commune pour contrer les cyberattaques dans ce secteur qui traverse les frontières est devenu une priorité, notamment en Europe et aux États-Unis, où se trouvent les deux géants de l’aéronautique.

Brian Moran, le vice-président aux affaires gouvernementales en Europe pour Boeing, a souligné l’« importance » d’une coopération transatlantique.

« C’est essentiel », a-t-il précisé, remarquant qu’« il y a une forte volonté de coopérer ».

Le nouveau centre informatique de l’UE

À l’échelle européenne, l’EASA va obtenir un nouveau centre de cybersécurité, a indiqué Luc Tytgat. Il contribuera à comprendre la nature des menaces, à rassembler des informations sur les attaques précédentes, identifier les failles, analyser et développer les réponses aux incidents informatiques, qu’il s’agisse de solutions de secours ou de conseils techniques.

Les efforts de l’UE reflètent les recommandations faites lors du comité consultatif de haut niveau organisé par la Federal Aviation Administration (FAA) aux États-Unis. L’objectif de ce comité est d’identifier les zones de risques et trouver un système international pour se protéger des attaques informatiques.

Les priorités de l’OACI

En accord avec l’inquiétude de plus en plus forte, la cybersécurité figurera à l’agenda de l’assemblée générale de l’OACI, organisée en septembre 2016. L’ONU a déjà qualifié cette question comme une question majeure en 2012. Or, le problème est devenu encore plus urgent entretemps.

L’OACI devrait adopter une résolution invitant les États membres à aligner leurs responsabilités de sécurité et adopter une approche flexible pour gérer l’apparition de ces nouveaux risques.

Selon Luc Tytgat, l’EASA et la FAA sont en train de penser à une position commune « en urgence » pour compléter la proposition de l’OACI.

Les pirates engagés comme conseillers en cybersécurités ont joué un rôle majeur pour mettre en avant la question.

L’expert informatique Chris Roberts avait choqué le secteur de l’aviation et les agences de sécurité en affirmant qu’il avait plusieurs fois piraté un avion transportant des passagers avec sa console de jeu, depuis son siège. Il a ajouté qu’il était en mesure de contrôler les moteurs de l’avion pendant le vol.

Suite à ces déclarations, une enquête du FBI a été ouverte et le gouvernement américain a averti le personnel des compagnies aériennes de surveiller les passagers qui tenteraient de connecter leurs ordinateurs portables aux équipements à bord.

Or, selon Hugo Teso, pirate et pilote espagnol, il n’est pas nécessaire d’avoir un ordinateur à bord.

Aujourd’hui conseiller réputé dans les compagnies aériennes, il avait stupéfié les participants à une réunion privée en 2013, en insinuant qu’il pouvait prendre le contrôle d’un avion avec son téléphone portable.

« Dans les avions modernes, il y a un grand nombre de failles, que les pirates peuvent exploiter pour accéder aux différents systèmes des machines », a-t-il averti.

Néanmoins, Brian Moran est moins alarmiste, rappelant que les avions actuels sont équipés de systèmes de protection contre ces intrusions. En revanche, il a souligné l’importance de protéger davantage les systèmes utilisés sur la terre ferme, de la maintenance à la gestion des procédures et dans le cockpit.

Les risques au sol

Les experts ont tendance à lui donner raison. Actuellement, les failles les plus importantes ont été identifiées dans les réseaux connectés aux avions qui permettent de charger ou télécharger des informations sur le vol.

L’EASA fait remarquer que les systèmes sont moins sécurisés que ceux installés dans les machines.

À l’heure actuelle, le matériel utilisé par les passagers pendant les vols, comme les connexions wi-fi et les consoles de jeux sont séparées physiquement des systèmes de sécurité à bord de l’avion. C’est pourquoi les experts ont remis en question l’affirmation de Chris Roberts d’être parvenu à contrôler les moteurs d’une machine.

Les conséquences des cyberattaques contre des systèmes au sol se sont déjà fait ressentir.

En juin 2015, une attaque avait empêché environ 1 400 passagers de prendre leur avion en paralysant les systèmes de dix avions à l’aéroport Chopin de Varsovie pendant près de cinq heures.

Les pirates ont procédé à une attaque par déni de service (DoS), une technique couramment utilisée sur internet pour surcharger un système en l’inondant de messages simultanés.

L’attaque avait pris par surprise un grand nombre d’acteurs, y compris les compagnies impliquées.

« C’est un problème industriel d’une ampleur bien plus importante et il est évident que nous devons y prêter plus attention », a assuré le PDG de la compagnie polonaise LOT, Sebastian Mikosz, lors d’une conférence de presse suivant l’incident.

« Cela peut arriver à n’importe qui, n’importe quand », a-t-il évalué.

Bien que beaucoup de compagnies aériennes et d’aéroports ont des systèmes très performants pour gérer les attaques informatiques, « ils n’ont pas adopté une approche holistique du domaine informatique ou pris en considération la menace générale pour le système d’aviation », a prévenu l’association du transport aérien international (IATA).

« Le prochain 11 septembre sera provoqué par des pirates informatiques prenant le contrôle des avions, il n’y aura pas de suicide », a prédit Gabi Siboni, le directeur du programme de cybersécurité de l’institut de recherches pour la sécurité nationale d’Israël.

Contexte

L’industrie aéronautique s’appuie largement sur les systèmes informatiques, que ce soit au sol ou dans les airs. Certains systèmes sont directement liés à la sécurité de l’avion pendant le vol, d’autres ont une importance opérationnelle. Beaucoup ont un impact direct sur le service, la réputation et la santé financière de l’industrie.

Il ne fait aucun doute que l’automatisation a fortement amélioré la sécurité et les capacités des machines en simplifiant les tâches. Cependant, le nombre de points d’entrée dans les systèmes augmente de plus en plus.

L’IATA a développé une stratégie reposant sur trois piliers pour comprendre, définir et évaluer les menaces et les risques des cyberattaques, mettre en place une réglementation adéquate et des mécanismes pour augmenter la coopération au sein de l’industrie, avec le soutien des gouvernements.

Un mécanisme de coordination a été mis en place du groupe de travail de haut niveau qui se réunit régulièrement.

Prochaines étapes

  • 27 septembre-7 octobre : assemblée générale de l’OACI