PlaneSploit : détourner un avion de ligne avec une appli Android ?

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités PlaneSploit : détourner un avion de ligne avec une appli Android ?

Publié le 12 avril 2013 à 11:30 par Jérôme G.

Lire sur mobile

Pour " pirater " un avion de ligne, il y a aussi une application pour ça sous Android d'après un chercheur en sécurité. Du moins cela est plausible.

Le scénario est digne d'un film catastrophe. Avec un simple smartphone sous Android, un individu détourne un avion de ligne. Une sorte de contrôle à distance afin de modifier le trajet de l'avion et plus encore. C'est un scénario qu'a imaginé un chercheur en sécurité qui a présenté ses trouvailles lors de la conférence Hack in The Box aux Pays-Bas.

Doté d'une expérience de pilote de ligne, Hugo Teso a développé un framework baptisé SIMON, une application Android dénommée PlaneSploit pour communiquer avec le système de gestion de vol ( FMS ; Flight Management System ) embarqué dans des avions.

Il a identifié des vulnérabilités dans un protocole pour l'échange de données avec un système du nom de ACARS pour Aircraft Communications Addressing and Report System. Tout un travail de longue haleine qui a nécessité du reverse engineering.

Via de simples achats en ligne, il s'est constitué un laboratoire pour concevoir un environnement virtuel reproduisant les conditions de vols commerciaux. ThreatPost (Kaspersky Lab) explique qu'en somme, Hugo Teso a conçu " un avion virtuel incroyablement précis qu'il a contrôlé avec le jeu X-Flight ". Il a ensuite réalisé une " copie virtuelle de l'environnement d'un vol commercial qu'il est parvenu à compromettre ".

Forbes rapporte que Hugo Teso a ainsi fait la démonstration qu'il peut envoyer des commandes à distance à son avion virtuel et par exemple le faire changer de direction, d'altitude et de vitesse, sans compter des manipulations sur les interfaces de contrôle du pilote.

Hugo Teso a notamment pointé du doigt le défaut d'authentification chiffrée pour les communications via ACARS, et ainsi pour les pilotes l'impossibilité de confirmer si les messages reçus dans le cockpit sont valides. " Des messages spécialement conçus peuvent alors être utilisés pour déclencher des vulnérabilités. "

Le chercheur en sécurité reconnaît toutefois que les pilotes peuvent passer outre les commandes malveillantes en reprenant un contrôle manuel de l'appareil. Il a contacté l'administration de l'aviation civile aux États-Unis ( FAA ; Federal Aviation Administration ) et son homologue en Europe ( ESA ; European Aviation Safety Administration ). Il travaille également avec Thales, Honeywell et Rockwell Collins dont des produits ont pu être manipulés.

Pour un porte-parole de la FAA, le hack n'est cependant par reproductible dans la vie réelle. " La technique ne pose pas de problème pour la sécurité d'un vol parce qu'elle ne fonctionne pas sur du matériel certifié. "