Durant le sommet de sécurité Hack In The Box qui a eu lieu à Amsterdam, Hugo Teso, un chercheur en sécurité chez N.Runs et pilote de vols commerciaux, a montré qu’il est possible de prendre le contrôle du système de communication en utilisant un smartphone Android et un code d’attaque spécialisé.Il a développé ledit code pendant trois ans, étudiant avec soin les logiciels seconde main utilisés par les systèmes de navigation des vols commerciaux.
Son code d’attaque baptisé SIMON fonctionne sous une application Android du nom de PlaneSploit qu’il a développée. Il peut ainsi prendre le contrôle complet des systèmes de vol et des écrans du pilote. L'avion piraté pourrait même être contrôlé à l'aide de l’accéléromètre du smartphone pour faire varier son cap et sa vitesse.
« Vous pouvez utiliser ce système pour modifier tout ce qui touche à peu près à la navigation de l'avion. Cela inclut beaucoup de choses désagréables » explique-t-il à Forbes.
Tout d’abord, Teso n’a trouvé aucune mesure de sécurité à l’ADS-B qui est un système permettant aux contrôleurs au sol d’être informés sur la position de l’avion avec un transfert de données de l’ordre de 1Mb/s. Selon lui, cette diffusion pourrait être utilisée de manière passive pour écouter les communications d’un avion ou de manière active en interrompant les émissions.
Le système ACARS, relais de communication entre les pilotes et les contrôleurs au sol, serait lui aussi vulnérable. En utilisant un simple Samsung Galaxy, il a démontré comment utiliser l'ACARS pour réorienter les systèmes de navigation d'un avion vers des coordonnées cartographiques différentes.
« ACARS n'a pas de sécurité du tout. L'avion n'a aucun moyen de savoir si les messages qu'il reçoit sont valides ou non », regrette celui-ci.
Teso a également été en mesure d'utiliser les failles dans le système ACARS pour insérer du code dans un système virtuel de gestion de vol. Son code lui a permis de prendre le contrôle de ce que l'équipage serait en mesure de voir dans le cockpit puis de changer la direction, l'altitude et la vitesse de l'engin compromis.
La nature précise des défauts de code n'a pas été communiquée mais Teso explique que l’Administration Fédérale d’Aviation et l'Administration Européenne de Sécurité Aérienne ont toutes deux été informées. Elles seraient déjà en train de travailler pour corriger ces défaillances.
Sources : présentation (au format PDF), Forbes
Et vous ?
Qu’en pensez-vous ? Véritable exploit ou cela n’a rien de surprenant ? 
