Pirater un avion avec un smartphone, c'est possible ?

Oui, selon un expert en sécurité qui a créé une application Android permettant de prendre le contrôle d'un engin à distance.

Un informaticien a créé une application qui permet, selon lui, d'envoyer de fausses données à n'importe quel avion de ligne, en profitant des failles de sécurité.
Un informaticien a créé une application qui permet, selon lui, d'envoyer de fausses données à n'importe quel avion de ligne, en profitant des failles de sécurité. (JOHNER RF / GETTY IMAGES)

Mis à jour le , publié le

Un scénario catastrophe à faire blêmir n'importe quelle agence antiterroriste. Lors de la conférence Hack in the Box à Amsterdam (Pays-Bas), mercredi 10 avril, un expert en sécurité a fait la démonstration (lien PDF) d'une application qui permet de "hacker" un avion avec un smartphone Android.

Hugo Teso, ancien pilote de ligne, a travaillé pendant trois ans sur un code et une application appelée PlaneSploit, raconte le site The Register (lien en anglais). Il a testé sa création sur un "avion virtuel" fabriqué à partir d'anciens systèmes de communication rachetés sur eBay et d'un jeu PC contenant des codes utilisés sur de vrais engins aériens. Tout cela peut paraître un peu léger, et pourtant c'est très sérieux. Dans sa démonstration détaillée, l'informaticien a assuré que son application pourrait aussi fonctionner sur des lignes réelles.

PlaneSploit, combiné à un "code d'attaque", permet de prendre le contrôle complet du système de vol et de l'écran du pilote. Grâce à l'envoi de signaux radio, la vitesse, l'altitude, la direction, et même le déploiement des masques pour les passagers ou l'activation des lumières et de l'alarme peuvent être pris en main. "Vous pouvez utiliser ce système pour contrôler à peu près tout ce qui est lié à la navigation de l'avion. Ce qui inclut beaucoup de choses méchantes", explique Hugo Teso au magazine Forbes (lien en anglais)

Le piratage s'appuie sur des failles de sécurité

Le système de communication entre le tableau de bord de l'avion et les équipes au sol, le Aircraft Communications Addressing and Reporting System (Acars), "n'a aucun système de sécurité, assure l'informaticien, l'avion n'a aucun moyen de savoir si les messages qu'il reçoit sont valides ou non". Sa méthode, qui lui permet d'envoyer des données à l'appareil, s'appuie donc sur cette faille. De même, le système qui transmet les informations sur le trafic aérien et la position exacte des autres avions au pilote, l'Automatic Dependent Surveillance-Broadcast (ADS-B), ne serait pas sécurisé. Une fois récupérées ces données pour cibler l'appareil dont le pirate veut prendre le contrôle, il n'y a plus qu'à lui envoyer des messages malveillants, et c'est "game over"...

Hugo Teso souligne tout de même que pour contrer ce type d'attaques, les pilotes peuvent toujours désactiver le mode automatique, pour peu qu'ils se rendent compte de qui est en train de se passer. De leur côté, plusieurs compagnies et organisations de sécurité contactées par Forbes assurent que sa méthode, basée sur un logiciel de simulation, ne marcherait pas dans la réalité. Ce que conteste Hugo Teso. 

Evidemment, l'informaticien n'a pas livré le détail des codes qui lui permettent un tel piratage. En tout cas, les agences de sécurité aérienne américaine et européenne ont été informées et sont prêtes à travailler avec lui pour résoudre ces failles au plus vite.