Un hacker montre à quel point il est facile de pirater un avion depuis son siège
Un hacker montre, en plein vol, comment il peut utiliser des failles de certains systèmes de divertissement à bord pour pirater d’autres systèmes de la cabine, voire prendre le contrôle d’un avion. American Airlines, United, Virgin, Emirates, Etihad, Qatar, FinnAir, KLM, Iberia, Scandinavian, Air France, Singapore, et Aerolineas Argentinas utilisent un système Panasonic visé par ces failles, censées être corrigées depuis.
Vous rendez visite à la famille pour les fêtes de Noël en avion ? Peut-être vaut-il mieux arrêter la lecture de cet article et passer sur quelque chose de plus léger. Ou changer de compagnie. Au moins trois grosses failles de sécurité permettaient d’entrer du code dans certains In-Flight Entertainment System (IFE) fabriqués par Panasonic, vous savez, cet écran que vous avez en face du siège sur certains vols, et qui permettent par exemple de regarder un film…
On dit “il y a peu” mais, selon le hacker, Ruben Santamara, qui a attendu plus d’un an avant de révéler ces failles effrayantes, il est encore possible que tout ne soit pas encore corrigé. Au-delà, cela met en évidence le problème de l’interconnexion de systèmes dédiés au divertissement avec d’autres qui n’ont rien à voir. Et dont la prise de contrôle pourrait avoir des conséquences catastrophiques.
Dans trois vidéos, il montre qu’en tapant du code SQL au lieu de taper un nom de film, il peut déjà prendre le contrôle de son écran, puis accéder au système central. Il peut changer des informations à l’écran comme l’altitude, contourner le système de paiement, voire accéder à /dev/random. Le tout sans bouger de son siège ou modifier quoi que ce soit physiquement.
Le pire, explique-t-il, est peut-être la faille d’injection SQL qui peut, selon lui, permettre à une personne mal intentionnée d’aller très loin. Pour la petite histoire, ce même hacker avait déjà révélé une grosse faille en 2014, l’autorisant à accéder au même IFE via wifi, lui permettant de se connecter à tout un tas d’équipements de l’avion, dont le système de navigation. Il explique :
Mises bout à bout, ces failles peuvent déboucher sur une situation très désagréable pour les passagers et je ne pense pas que ces systèmes puissent résister à des attaques solides faites par des acteurs malicieux compétents. Cela ne dépend que des intentions et de la détermination de l’attaquant, mais d’un point de vue technique, c’est tout à fait possible.
Les failles auraient depuis été corrigées… enfin presque…
On vous l’a dit, on le répète, la faille a été signalée il y a plus d’un an à Panasonic (Mars 2015) qui a lancé depuis des mises à jour, mais l’hétérogénéité des systèmes de bord, le nombre de compagnies concernées, explique le hacker sur le blog IOActive, ainsi que la disponibilité des firmware de certains de ces systèmes en ligne, feraient encore courir un risque.
La compagnie Emirates, contactée à ce sujet par le quotidien britannique The Telegraph, assure que “la sécurité de ses équipages et passagers est une priorité” et explique travailler avec Panasonic pour résoudre ces failles, ce qui déboucherait sur des mises à jour régulières.
De notre côté, on se demande pourquoi ce système de divertissement n’est tout simplement pas isolé par conception du reste des systèmes de bord. Si il y a des spécialistes dans la salle, expliquez nous ! Vous trouverez davantage de détails sur ces failles, sur le blog IOActive en source de cet article. Voici les fameuses vidéos dont on vous parlait plus haut :