Le QNH sécu est en chute libre, le point de rosée élevé, et la visibilité proche de zéro dans ces histoires de piratage possible ou non des avions de ligne. Selon Patrick Ky, directeur de l’Agence européenne de la sécurité aérienne (Aesa), les aéronefs modernes sont vulnérables, c’est désormais Photos indiscutable, puisqu’une série de tests de pénétration auraient confirmé cette possibilité. Cinq minutes pour truander le système Acars, avouent les responsables de l’Aesa. Acars n’est rien d’autre qu’un système de télédiagnostic évolué. Mais il est également chargé d’expédier des données de mise à jour du sol vers l’aéronef en mouvement (données météo notamment) donc la falsification pourrait inciter l’équipage à prendre de mauvaises décisions. En aucun cas, Acars ne donne accès aux commandes de vol… à moins d’un cas particulier et d’une négligence d’intégration éventuelle. En trois jours de travail, l’équipe de pentest serait parvenue à« pénétrer dans le système de contrôle de l’avion », sans autre forme de précision technique.
On pense immédiatement aux travaux de Hugo Teso (HITB, 2013) et aux twitts de Chris Roberts affirmant qu’il avait pu modifier le régime moteur et le cap d’un avion de ligne sans bouger de son siège, par simple exploitation d’une faille du système vidéo passagers. Affirmation qui a provoqué une vive réaction du FBI. Le chercheur a donc passé quelques nuits au bloc à se faire interroger, entouré par un concert de dénégations de la part des constructeurs et des compagnies aériennes. Pour le landerneau Infosec, la seule chose sur lesquelles les parties sont toute tombées d’accord, c’est sur la nécessité de ne publier aucune preuve technique, sous prétexte que « ce serait trop dangereux ». La possibilité d’un tel hack ne serait pas franchement étonnante lorsque l’on constate avec quelle légèreté l’audit de la plupart des systèmes vitaux dans le domaine de l’automobile se réalise : à savoir pas d’audit. Mais, en matière de sécurité, le monde de l’aviation s’est toujours montré bien plus prudent que les fabricants de voitures, vendeurs d’occasions et réseaux de concessionnaires.
Pas un hasard difficilement croyable, cette même semaine, l’entreprise fondée par Chris Roberts, One World Labs Inc, est placée en redressement judiciaire (Chapitre 11 selon la loi fiscale US). Le déficit serait de 720 000USD, et l’entreprise aurait déclaré 3M$ de net l’an passé. Roberts, qui avait déjà démissionné de son poste de CIO, est toujours actionnaire majoritaire de OWL. Son arrestation est-elle en rapport avec ces mauvais résultats, en raison d’une soudaine défiance de la clientèle ? La chose ne peut être prouvée. En revanche, l’entreprise possède un fichier de clients très « bankable », ce qui laisse présager, dans le pire des cas, un rachat par un géant de la sécurité (du type Dell ou IBM).