Le secteur aéronautique et la sécurisation : quels risques cyber?

Écrans piratés avec des messages de propagande, données des compagnies aériennes volées puis revendues, accès au système informatique d’un avion… L’aéronautique est l’un des secteurs les plus en proie aux cyberattaques. Les pirates qui disposent d’une multitude de moyens pour mener des attaques contre les infrastructures de l’aviation civile et ses fournisseurs de services, peuvent notamment agir sur les systèmes de navigation aérienne et de contrôle, brouiller les systèmes radar et de communication. Mais aussi saboter les systèmes aéroportuaires et détourner un avion à distance. Le secteur de l’aéronautique (compagnies aériennes, constructeurs aéronautiques, infrastructures aéroportuaires et autorités) représente un grand intérêt géostratégique et implique « une chaîne d’acteurs considérables qui doit être sécurisée ».

D’après un rapport du Département américain de la Sécurité intérieure, il serait possible d’infiltrer les systèmes informatiques des avions à distance. Dans le cadre d’une mission de l’US Department of Homeland Security (DHS), des chercheurs ont démontré lors du sommet CyberSat (novembre 2016), qu’il était possible de pirater un Boeing 757 lors d’un test sur le tarmac de l’aéroport d’Atlantic City dans le New-Jersey. Les experts en sécurité ont ainsi réussi à pénétrer à distance le système informatique de l’avion (de manière non-coopérative) en utilisant des ondes radiofréquences. D’autres exemples d’attaques contre des avions de ligne par des white hat sont tout aussi signifiants et alarmants. En 2015, le spécialiste américain en sécurité, Chris Roberts, avait découvert des failles sur une vingtaine d’avions et avait annoncé qu’il était parvenu à les pirater en plein vol, via leur système informatique IFE (In Flight Entertainment, le système de distraction des passagers dans la cabine). Roberts avait physiquement accédé aux boîtiers SEB (Seat Electronic Box) en charge de piloter les écrans des sièges de l’avion. Il avait ensuite connecté un câble Ethernet doté d’un connecteur modifié pour prendre le contrôle, depuis son portable, d’autres systèmes embarqués comme le « Thrust Management Computer », qui gère le schéma du vol et la puissance des réacteurs de l’avion. Avec de tels piratages ou exemples de piratage, le secteur aéronautique est  devenu l’un des secteurs les plus enclins aux cyberattaques.

Augmentation de la connectivité en vol et protection des données

Avec des avions de plus en plus connectés, les portes d’entrées pour les attaquants ne cessent de se multiplier. Les connexions Wi-Fi sont notamment plus importantes qu’auparavant, avec 7400 avions mondiaux qui comptaient une connexion Wi-Fi contre 23 000 en 2027, soit une augmentation de 60% de la flotte mondiale pour Air France. Ces chiffres significatifs signent notamment l’arrivée des géants du numérique qui vont y voir une aubaine pour équiper les avions. Cependant, cette augmentation de connectivité, ne garantit pas une meilleure sécurisation des avions. Selon Vincent Megaides, directeur marketing et stratégie des activités entraînement et simulation de Thales, le manque de « normes et de standards » se font ressentir dans les écosystèmes complexes que représentent les avions, rappelant de plus, le besoin de certification. La connectivité est nécessaire et voulue mais elle ouvre davantage de portes d’accès pour les pirates informatiques.

En 2018, le marché de la connectivité en vol représentait 3,36 milliards contre une estimation de 57,45 milliards en 2028. Les appareils en vol représentent des dizaines d’ordinateurs, de capteurs, des lignes de code logiciel et enregistrent et fournissent à leurs arrivées des téraoctets de données dans les aéroports. C’est à ce titre que les aéroports et plus généralement, le secteur aéronautique, va dépasser dès 2022 « le volume de données généré par les GAFA ». Le développement de la connectivité en vol est une réelle problématique et répond premièrement à l’expérience des voyageurs.

De nouveaux risques cyber associés aux mutations technologiques ?

Les mutations digitales liées aux nouvelles technologies ont participé à l’avènement de nouvelles menaces sur l’écosystème de l’Internet des Objets. Les avions sont de plus en plus connectés et communicants dans leur conception et leur mise en service. Ils sont considérés comme des objets connectés, surtout ceux de nouvelle génération, appelés « e-enabled aircraft », de type A380. Le responsable de la sûreté aéronautique de chez Airbus Group explique qu’une « sécurité réglementée et harmonisée est indispensable » pour l’aéronautique. Dans l’industrie aérienne, la « cybersûreté » est privilégiée à la « cybersécurité » car cette notion est davantage relative à la protection contre des actes malveillants, intentionnels ou pas, et exposant volontairement des produits. Cette sûreté touche tout un ensemble de produits, à savoir, les avions, les hélicoptères, les lanceurs et les satellites. Ces vecteurs de menaces sont notamment composés de systèmes standards appelés COTS (Commercial off the Shelf) que les malfaiteurs peuvent pirater.

En vol, l’environnement industriel d’un avion est « conçu » pour que ses moyens d’accès informatique (ports) soient fermés par conception et donc inopérables. Même si la construction d’un avion nécessite des « architectures embarquées, partitionnées et ségréguées » et que les environnements dits critiques (environnement cabine, moyens de communication internes) ne sont pas connectés entre eux, ils restent tout de même singulièrement vulnérables. Lors de la production ou de l’assemblage, les systèmes de contrôle industriels (environnements de production et de maintenance), représentent une réelle faille. Ces derniers doivent être davantage sécurisés et faire l’objet d’une coopération avec les équipementiers lors de la conception de l’avion et de « l’intégration de la sûreté avec la supply chain » du fait des opérations de plus en plus informatisées. Les supply chain en réseaux (« Value Webs ») qui sont toujours plus connectées, apportent également des risques cyber supplémentaires.

Les mutations technologiques ne sont pas toujours au service de la sécurité. Les risques se multiplient et vont au-delà des risques singuliers comme le vol ou les intrusions. Les risques terroristes ou encore les intrusions de drones sont devenus tout aussi importants. Le secteur aéronautique ne concerne pas uniquement les appareils en vol, mais également les aéroports. Depuis près de 50 ans, 38 attaques ont été recensées dans plus de 25 aéroports différents avec notamment un pic ces deux dernières années avec les attentats d’Istanbul et de Bruxelles en 2016, puis de Orly et de Fort Lauderdale en 2017. De plus, les attaques par ransomware ciblent les infrastructures aéroportuaires. Cela a été le cas avec Wannacry qui a touché l’aéroport de Kiev en Ukraine en 2016. Les aéroports doivent également répondre à plusieurs problématiques. Ils se donnent comme défis « d’augmenter leur capacité d’accueil » face à la hausse du trafic de voyageurs et de marchandises, mais aussi de « protéger les infrastructures, les personnes, les opérations et les données clients ». Le volume des données a considérablement augmenté avec l’avènement de l’Internet des Objets comme moyen de communication (capteurs….). Les structures aéroportuaires se doivent donc de traiter intelligemment ces données à l’aide d’objets connectés faisant du Big data et du Smart data une priorité pour les opérateurs. La protection des données et des systèmes d’informations s’applique par prévention efficace des cyberattaques. Les prestataires sont également concernés sur la totalité des points de connexion publics. Ces interactions de systèmes de l’interne vers l’externe offrent également des portes d’entrées aux cyberattaques.

Des risques cyber avérés en plein vol comme sur la terre ferme

L’avion est un objet de plus en plus connecté et le risque d’une cyberattaque est bien réel. Les mondes numérique et physique s’entremêlent de par une interconnexion entre l’Internet et les dispositifs connectés. L’Internet des Objets qui s’implémentent à l’intérieur des appareils offre davantage de possibilités d’attaques pour les attaquants qui utilisent notamment les réseaux Internet. Les aéroports représentent également des portes d’entrée pour les pirates. Ces attaques ne sont généralement pas létales mais sont une source lucrative ou servent de vitrines pour les attaquants qui expriment leurs revendications.

L’aéroport de Bristol au Royaume-Uni a récemment été victime d’un ransomware paralysant les écrans et les télévisions internes affichant les départs et arrivées des vols. En mars dernier, l’aéroport international Hartsfield-Jackson d’Atlanta avait subi la même attaque et a été contraint de couper son réseau Wi-Fi interne. Les systèmes de sécurité des aéroports sont inclus dans une chaîne de réseaux qui participe à la sécurité de l’industrie aérienne. Vecteurs de grande visibilité, l’impact d’une attaque contre un aéroport est mondiale et peut paralyser toute une ville. Les compagnies aériennes sont très régulièrement la cible des pirates informatiques qui n’hésitent pas à exploiter des failles sur les systèmes informatiques de sécurité pour obtenir les données bancaires des clients. La compagnie aérienne Air Canada avait ainsi subi une atteinte directe à la protection de plus de 20 000 données sensibles clients.

Le développement digital de l’écosystème aéronautique a apporté des supports davantage exposés et augmente les facteurs de risques majeurs et systémiques. En termes d’Application Programmable Interface (API), nous somme passé d’un système d’interconnections des applications gérées de façon spécifique au niveau des protocoles de communication réseaux, à des entreprises qui construisent des API pour « activer et accélérer le développement de nouveaux services et ores (Cloud…) ». Les plateformes collaboratives et les solutions Cloud ont notamment remplacé les progiciels de gestion intégrés (PGI, ou Enterprise Resource planning, ERP). Les risques de fuite d’informations, qu’elles soient volontaires ou non, sont donc multipliés. L’intégration des systèmes technologiques dans l’industrie aérienne s’effectue maintenant dans un écosystème participatif et « requiert que l’entreprise se dote d’une véritable compétence en termes d’architecture des Systèmes d’information ». Ce système en mosaïque est de facto fragile et augmente inévitablement le risque de cyberattaques.

Le défi de la sécurisation des sous-traitants pour le secteur aéronautique s’est récemment illustré par les cyberattaques qui ont touché Airbus depuis le début de l’année 2019. Les attaquants ont directement visé les sous-traitants du constructeur aéronautique afin de voler des données stratégiques. La chaîne d’approvisionnement d’Airbus a été un biais pour viser Airbus. Les attaquants cherchent toutes sortes de moyens pour toucher les géants de l’aviation. Selon le directeur général de Kaspersky, « une attaque via la chaîne d’approvisionnement peut permettre d’atteindre des centaines d’autres entreprises en n’en compromettant qu’une seule ». Les sous-traitants Altran et Asco ont été visés par des cyberattaques. L’équipementier belge a lui été visé par un ransomware paralysant l’usine pendant une semaine. Alors qu’Altran a été touché par un malware paralysant 400 de ses serveurs. Les chercheurs en cybersécurité l’on mis en avant dès 2018, les attaques via la chaîne d’approvisionnement sont des menaces grandissantes. Les petites et moyennes entreprises sont des cibles importantes pour les pirates. Elles font parties d’une chaîne qui donne accès aux grands constructeurs aéronautiques. Ainsi, une entreprise peut devenir le maillon faible d’une autre. Le dernier rapport de l’’Agence nationale de la sécurité des systèmes d’information française (ANSSI) traite notamment des récentes attaques qui ont visé le secteur aéronautique en particulièrement les prestataires de services et bureaux d’étude des industriels aéronautique européens. Les noms d’Airbus et d’Altran ont été mis en exergue quant à ces récentes cyberattaques par le VPN de ces dites entreprises. L’ANSSI a mis en perspective le modus operandi des attaquants qui visent les réseaux des prestataires pour récupérer les données de leurs clients, en l’occurrence, les groupes aéronautiques. L’ANSSI décrit donc leur processus, à savoir :

  • L’exploitation de vulnérabilités des services exposés à Internet ;
  • L’utilisation de comptes VPN légitimes ;
  • L’utilisation d’outils d’accès à distance (maliciel PlugX) et/ou portes dérobées ;
  • L’élévation de privilèges.

Conclusion

Á l’heure de la digitalisation et de la multiplication des objets connectés dans ce secteur – et pas seulement – les probabilités d’occurrences sont élevées contre tout le secteur aéronautique. Permettant une meilleure maintenance et optimisation des routes, la digitalisation génère un volume de données de vol important, il y a jusqu’à 100 000 capteurs sur les nouveaux programmes de vol. De plus, des systèmes fermés communiquant un à un, l’aéronautique est passé à un modèle d’écosystème interconnecté et ouvert vers l’extérieur. Ces nouvelles interconnexions ont donc multiplié les opportunités de ce secteur mais aussi les risques d’attaques, tant les plateformes se sont diversifiées. La digitalisation des appareils expose particulièrement les appareils aux cyberattaques.

En 2020, tous les avions d’Air France seront équipés en Wi-Fi et mondialement, les connexions Wi-Fi vont plus que doubler. Enfin, les capteurs embarqués dans les moteurs modernes ont plus que progressé et en compte 5000 chez Airbus. En dépit de certaines normes ISO de sécurité adaptées au monde de l’aéronautique, les compagnies et constructeurs doivent s’accorder sur une méthodologie d’analyse et d’appréhension des risques pour une meilleure sécurité. Boeing n’a pas la même « security culture » qu’Airbus, c’est-à-dire, la même gestion de sûreté (l’Aircraft Security Management System (ASMS). Les entreprises du secteur aéronautique doivent maîtriser les risques pour chaque initiative digitale et sur les systèmes embarqués et selon Philippe Trouchaud, associé Cyber Intelligence chez PwC, les dépenses informatiques à la sécurité pourraient passer de 6 à 15. La cybersécurité est l’affaire de tous et nécessite au-delà des coopérations, une sécurisation de tous les objets connectés et systèmes informatiques de la chaîne de l’industrie aérienne, à commencer par les sous-traitants industriels.

Sources: 

https://www2.deloitte.com/fr/fr/pages/manufacturing/articles/enjeux-cybersecurite-industrie-aeronautique-et-defense.html

https://www.pwc.fr/fr/industries/aeronautique-defense-securite/enjeux.html

https://www.pwc.fr/fr/decryptages/securite/aeronautique-ultraconnectivite-donne-des-ailes-a-la-cybersecurite.html

https://www.cert.ssi.gouv.fr/uploads/CERTFR-2019-CTI-004.pdf 

https://www.01net.com/actualites/oui-il-est-possible-de-pirater-un-avion-de-ligne-a-distance-1304503.html

https://www.thalesgroup.com/fr/monde/securite/news/securite-et-cybersecurite-priorites-du-secteur-aeronautique