[JdR] La cybersécurité, ou l’épée de Damoclès du secteur aéronautique (1/2)

Le mythe du “cockpit impénétrable” est souvent utilisé comme figure de style pour expliciter le cynisme qui entoure les effets d’une cyberattaque sur l’écosystème aérien. Peu d’experts s’accordent à penser à une éventuelle cyberattaque qui pourrait causer une catastrophe meurtrière. Cette peur plane dans le secteur notamment depuis les attaques du 11 septembre 2001. Le risque ne pouvant pas être écarté, il est nécessaire d’agir et de former dans ce sens. C’est ce que nous démontre aujourd’hui Michaël Simantov.

Une cyberattaque peut-elle provoquer une catastrophe aérienne ?

Révolution numérique, explosion de l’interconnectivité, multiplicité des acteurs… Le monde de l’aéronautique, en même temps qu’il se modernise, se trouve confronté de plein fouet à la menace cyber. Cette conférence des clubs Cyber et Risques dresse un panorama de la menace cyber pesant sur le monde aéronautique, présentera un état des lieux des forces et faiblesses du secteur par rapport à cette nouvelle donne, puis introduira des pistes de réflexion pour répondre à ces menaces.   

Cette conférence a été présentée par Michaël Simantov, consultant en cyber sécurité, spécialiste des questions de gouvernance, organisation et pilotage en matière de cyber sécurité. Il intervient auprès de grands groupes bancaires et industriels afin de les accompagner dans leur démarche de mise en place de programme de cyber sécurité. Michaël Simantov est diplômé de l’école d’aéronautique ISAE/SUPAERO et dispense des cours de cyber sécurité chaque année au sein de cette école.

Pour sa présentation, M. Simantov, divise son propos en quatre parties distinctes :

Dans un premier temps il souhaite s’attarder sur l’importance des termes et de leur signification dans le monde cyber. Il poursuit avec les moyens d’identification de la menace cyber dans le domaine de l’aéronautique. Il dresse ensuite un état des lieux de la situation actuelle dans ces deux mondes qui se croisent indubitablement. Enfin il présente un panorama de toutes les actions qui permettent d’affronter la réalité qu’est devenue cette menace pour l’aéronautique.

 

La sémantique cyber

Pour introduire ses propos, notre expert cite l’auteur français Albert Camus, dans les termes suivants : « Mal nommer les choses c’est ajouter du malheur au monde ». Rapporté dans le domaine du cyber, mal nommer les choses est commun. On assiste à une inflation sémantique dans ce domaine comme « cyber espace », « cyber défense », « cyber résilience » etc… Dans la plupart des cas les termes sont peu compréhensibles et leur définition l’est encore moins. 

Il revient également sur l’étymologie du terme « Cyber », terme grec qui faisait référence à la science du pilotage, remit au gout du jour par un mathématicien au lendemain de la Seconde Guerre Mondiale, Norbert Wiman. Il théorise le domaine de la cybernétique qui est une théorie du contrôle. Et le concept s’est popularisé dans les années 1980 notamment sous l’impulsion de la culture punk et alternative avec une culture littéraire. Le terme Cyber espace apparait pour la première fois dans un livre mais aussi dans des films comme Terminator ou encore Total Recall. Dans tous ces exemples on retrouve l’idée que d’un côté on a la menace de la surveillance électronique, et de l’autre l’espérance dans un univers fantasmagorique. Cela se retrouve aussi dans les termes que nous connaissons aujourd’hui comme « cyber défense » et autres mentionnées précédemment. Ces termes dégagent une sorte de magie et de fantaisie.

Si on se focalise sur le terme « cyber espace », M. Simantov indique que mêmes les spécialistes ne s’entendent pas sur sa terminologie. Pour définir ce terme il utilise une première définition qu’il emprunte à Olivier Kempf, spécialiste en cyber stratégie :

« Espace constitué de systèmes informatiques connectés en réseau et permettant la communication technique et sociale d’informations par des utilisateurs individuels ou collectifs ».

Cette définition prouve selon notre expert que c’est bien là la finalité du cyber espace, une utilisation sociale qui connecte des utilisateurs entre eux. A côté de cela on retrouve d’autres définitions comme celle proposée par l’ANSSI :

« Espace de communication constitué par l’interconnexion mondiale d’équipements de traitement de données numérisées ».

Cette définition est trop technique, juge M. Simantov, car elle omet l’aspect social qui se dégage de ce concept. Mais donner un sens à ce terme n’est pas simple. En effet, pour notre expert, le cyber espace s’inscrit dans une histoire qui varie entre « sécurité » et « liberté ». A nouveau, l’étymologie du terme « cyber » reprend ces aspects de « sécurité » et de « liberté », d’un côté la menace, la surveillance et de l’autre une forme de liberté.

Le Cyber espace est un concept conçu dans les années 1960, aux États-Unis. Dans un contexte de Guerre Froide additionné à la diffusion culturelle de la côte ouest américaine, avec, entre autres, les influences hippies. A nouveau on retrouve cette ambivalence entre « sécurité » (Guerre Froide) et « Liberté » (Culture Hippie). Ce terme de cyber espace s’inscrit réellement dans une continuité historique car ces deux aspects de liberté et sécurité prennent les devants l’un ou l’autre selon la période historique concernée.

Par exemple jusqu’à la chute du mur de Berlin nous étions en pleine Guerre Froide (la sécurité prédominait), une fois le mur tombé on parle de « dégel » et l’aspect libertaire reprenait le dessus. Naît alors l’idéal du cyber espace, avec le partage, la transparence, mais la tendance s’inverse à nouveau avec les événements du 11 septembre 2001. La même année, le Patriot Act laisse libre court à l’administration américaine pour surveiller l’ensemble de son territoire. Le cyber espace devient progressivement un environnement de conflits et de guerres, et ce notamment avec l’arrivée en 2007 de Stuxnet, un ver informatique créé par les américains afin de retarder le programme nucléaire iranien. Pour cela, ils ont infiltré les réseaux d’une centrale nucléaire iranienne, envoyé le paquet dans le système informatique et ont mis l’ensemble de la centrale en dysfonctionnement total.

Ce sera seulement deux ans plus tard, en 2009, que le ver Stuxnet est pour la première fois découvert. Cette attaque est généralement attribuée aux Israéliens, démontrant par la même leurs capacités et leur puissance en matière cyber. M. Simantov dresse même un parallèle avec la démonstration de la supériorité militaire et scientifique américaine en 1945 avec le lancement de la première bombe atomique.

Aujourd’hui, des principes de bases tels que la liberté ou la transparence sur Internet sont fragilisés avec une nouvelle menace : la compromission des données personnelles. On retrouve de nouveau cet équilibre entre « sécurité » et « liberté ».

M. Simantov, poursuit son enquête étymologique des termes cybers avec « cyber criminalité » et propose la définition : « Ensemble des activités illégales effectuées sur ou au moyen d’un système informatique généralement connecté à internet ».

Pour ce concept de « cyber criminalité, notre intervenant s’attarde sur les auteurs de ces actions. Qui sont-ils ? Pourquoi ces actions ? De quelles ressources disposent-ils ? Schématiquement notre intervenant catégorise trois types de cyber attaquants :

  • Les États : qui mènent des guerres les uns contre les autres, pratiquent l’espionnage économique afin de déstabiliser et démontrent leur puissance à travers une diplomatique occulte. Disposants de ressources très importantes leur organisation s’apparente à celle d’une entreprise, dans le processus de concurrence.
  • La criminalité : motivée par l’argent, M. Simantov rappelle ce qu’il qualifie de « casse du siècle » lorsque le réseau SWIFT a été piraté et plus de 80 millions de dollars ont été dérobés à la banque centrale du Bangladesh. Les assaillants auraient pu dérober plus d’un milliard de dollars mais une faute d’orthographe les en empêcha. La cyber criminalité rapporte beaucoup aux auteurs de ces actions et le fait d’attribution est souvent nul car on ne peut vraiment attribuer une attaque à un auteur, du moins cela reste complexe et la judiciarisation l’est encore plus. Leurs moyens sont moins importants mais restent suffisants pour mener de grandes campagnes.
  • Les activistes manquent de moyen, et en général leur action est motivée par la reconnaissance ou une idéologie.

Cette cartographie des cyber attaquants montrent que ce sont des groupes très organisés, hiérarchisés et dont les moyens sont importants. La Cyber criminalité impressionnait peu avec le concept de « Script kiddies » (hackeurs adolescents dans leur garage) puis les apparaissent les activistes et désormais on parle de « Cyber Crime » et de « Cyber conflit » (cf. NotPetya).

M. Simantov reprend une citation du Directeur de l’ANSSI Guillaume Poupard qui explique la prochaine étape : « Demain il y aura des morts ». Cette phrase peut choquer, mais ici Guillaume Poupard entend que le monde réel et le monde numérique se croisent désormais. Le monde numérique s’introduit dans le monde physique et cela se confirme par son utilisation dans le domaine nucléaire, médical et dans l’énergie. C’est l’Internet of Things (IoT) qui est l'interconnexion entre Internet et des objets, des lieux et des environnements physiques.

 

La menace cyber dans l’aéronautique

Toutes ces menaces s’appliquent désormais au monde de l’aviation, car l’avion devient un objet de plus en plus connecté. Cette jonction entre le monde physique et le monde informatique devient plus évidente avec l’aviation. Dès lors, une cyberattaque peut-elle entraîner une catastrophe aérienne ?

M. Simantov reprend plusieurs anecdotes au sujet d’attaques cyber ayant visé des avions perpétrées par des « white-hat » ou « hackeurs éthiques » qui exposent des failles à prendre au sérieux :

  • Hugo Tesso, un chercheur en cybersécurité, a montré qu’il était possible de modifier la trajectoire d’un avion au moyen d’une application Android qu’il a mise au point. Ce qui est intéressant avec cette histoire (non vérifiée) c’est que H. Tesso, en plus de son activité de chercheur en cybersécurité, est pilote d’avion à ses heures perdues. Il met en ligne une présentation pendant une conférence et explique qu’il a exploité une faille dans le système de transmission entre les avions et le système au sol.
  • Chris Roberts, un autre expert cybersécurité, a réussi à modifier la puissance des moteurs d’un avion de ligne pendant le vol en accédant au système de commande de l’avion par l’IFE (Inflight Entertainment, petits écrans dans les avions qui permettent de visionner des films). Après un Tweet ventant sa réussite, Chris Roberts a été arrêté par le FBI.

Ces deux anecdotes ont tout de même permis une prise de conscience générale de la réalité de la menace cyber dans le domaine aéronautique et les dangers liés à la connectivité. Des attaques plus sérieuses ont tout de même eu lieu :

  • La première attaque touche la Compagne aérienne Lot Polish Airlines, dont le système de gestion de vol a été inopérant pendant plusieurs heures lors d’une attaque DDoS (attaques par déni de service, dont le but est de rendre indisponible un service, d'empêcher les utilisateurs légitimes d'un service de l'utiliser).
  • En 2016 deux aéroports vietnamiens perdent simultanément le contrôle de leurs écrans d’affichage suite à une attaque de Défacement pour diffuser des messages de propagandes prochinois sur le site de Vietnam Airlines.
  • En Russie, en 2017, les points de fidélité de voyageurs britanniques ont été volés et revendus sur un marché parallèle. 
  • British Airways, 244 000 clients voient leurs coordonnées bancaires subtilisées sur le site internet de la compagnie (Skimming Attack) qui observe et enregistre les données bancaires lorsqu’elles sont saisies. Au même moment un écran d’affichage a été mis hors ligne suite à une autre cyberattaque dans l’aéroport de Bristol.

Le cas Airbus :

Le 6 janvier 2019, le groupe Airbus est touché par une cyberattaque qui a visé les données personnelles de certains salariés. Vers fin janvier Airbus effectue une communication rassurante contrainte par le RGPD. Cette intrusion ciblait les documents techniques relatifs à la certification des avions d’Airbus. Cette attaque très sophistiquée aurait été menée par un groupe lié aux services de renseignements chinois à des fins d’espionnage. Le mode opératoire suit le chemin habituel, à savoir, les hackers ont pénétré les systèmes informatiques de l’un des fournisseurs français d’Airbus. Des soupçons de complicités en internes sont tout de même soulevés.  

Le crash de Spanair :

En 2008, l’Espagne connaît le crash le plus dramatique de toute l’histoire de l’aviation espagnole. Les alertes prévenant de la dangerosité du décollage ne se sont pas activés, les pilotes ont donc fait décoller l’appareil qui s’est décroché au décollage puis s’est crashé. Il semblerait que l’ordinateur qui devait identifier ces alertes était ralenti par un virus informatique. Une enquête a été menée qui ne met pas en cause le virus mais met en cause les pilotes et les procédures de décollage. Mais le ralentissement dû à un virus est un point maintenu dans la version officielle.

Ces histoires prouvent plusieurs points. Premièrement, il existe des vulnérabilités après lesquelles il faut apprendre à sécuriser l’écosystème aéronautique. La réaction des officiels ne s'est d'ailleurs pas fait attendre.

En effet, Patrick Ky directeur de l’Agence Européenne de Sécurité Aérienne a indiqué que de « croire que le transport aérien est à l’abri de ce genre de menace revient à se voiler la face. C’est un sujet sérieux auquel nous devons nous attaquer ».

M. Simantov nous indique que cette phrase marque une prise de conscience et une volonté réelle d’exposer cette réalité. Mais derrière cette phrase il y a un non-dit. Patrick Ky indique des « gens se voilent la face » et qu’ils ne prennent pas au sérieux ce nouveau risque d’attaque. Malheureusement cette interprétation reflète la réalité, car pour la conscience collective, « pirater un avion, c’est tellement complexe que ça ne peut pas arriver ». C’est ce qu’on appelle, dans le jargon cyber, la "sécurité par l’obscurité", qui représente un vrai danger et dont les conséquences sont généralement inattendues.

Pour conclure cette partie, M. Simantov dresse un panorama des menaces grâce à deux questions simples « Qui ? » et « Pourquoi ? » :

QUI ?

POURQUOI ?

États

Espionnage/ Déstabilisation/Sabotage/ Atteinte à l’exploitation

Concurrents

Espionnage/Déstabilisation du Management/Atteinte réputation

Mafia

Vol/Rançon/Trafic

Terroristes

Manipulation d’opinion/Atteinte réputation/Sabotage

Hacktivistes

Manipulation d’opinion/Opération déstabilisation/Atteinte réputation

Hackers

Vol/Atteinte image/Jeu

Pour Alain Robic, associé chez Deloitte France, le secteur aéronautique est un secteur lucratif pour les attaquants car il relève de la capacité technologique, financière, intellectuelle mais aussi de la compréhension du monde aéronautique de la souveraineté d’un État. Donc l’aéronautique pose véritablement des questions de souveraineté nationale en ce qu'elle est l’image d’un État, c’est son capital technologique et ce, ne serait-ce qu'en termes de propriété intellectuelle.

Donc une menace réelle, mais peu prise en compte et souvent prise à la légère. Pour autant le menace cyber pèse belle et bien sur le monde de l’aéronautique. Comme nous l’a rappelé notre intervenant et expert, l’avion et son écosystème sont de plus en plus connectés, l’exposant donc pus aux risques cybers et notamment aux cyberattaques. Dans une seconde partie de cet article nous aborderons la suite de la présentation de notre expert M. Simantov. En observant l’état actuel des choses et enfin les actions à mener pour contrer les risques de cyberattaque.

Deuxième partie ici.

Club Risques AEGE.