Quelques enseignements que nous pouvons tirer des avions, ces énormes objets connectés
Les objets connectés : en la matière, difficile de trouver plus gros que les avions commerciaux (même si ces derniers sont rarement cités comme des exemples typiques d’objets connectés). Récemment, des chercheurs ont mis à jour une back door sur le système internet de certains avions. Ils ont fait la Une des journaux, sans doute de manière exagérée. Le transport aérien connaît en réalité un franc succès quant à la sécurisation de ses différents équipements. Une telle réussite peut même être riche d’enseignements, à une heure où la société dans son ensemble devient de plus en plus dépendante de l’informatique.
“Dans l’aéronautique, le secret industriel est la règle”, a souligné Andrea Barisani dans son exposé de 2016 baptisé L’évaluation de la sécurité avionique : récit d’expériences pratiques. Par conséquent, il est rare d’avoir écho de ces initiatives, brillantes mais confidentielles, visant à sécuriser les systèmes informatiques des avions.
Andrea Barisani est Head of Hardware security chez F-Secure et fondateur d’Inverse Path, une société de conseil acquise par F-Secure en 2017. Inverse Path s’est illustrée dans le domaine de la sécurité matérielle, avec des travaux pionniers. L’entreprise avait notamment organisé les premières conférences sur le piratage automobile.
Andrea Barisani a longuement travaillé dans le secteur de l’aéronautique, mais ses travaux sont protégés par des accords de non-divulgation dont la lecture prendrait un très long moment… qui dépasserait de loin les 57:55 minutes de son exposé. Tout en tenant ses engagements, Andrea a tenté de livrer une “explication détaillée” des principes de sécurité avionique. “Mettre tout cela en perspective demande beaucoup d’efforts”, a-t-il expliqué, avant de s’y essayer malgré tout.
“Le public s’inquiète du rôle des ordinateurs dans le transport aérien”, a-t-il remarqué. La principale crainte ? “Que l’interaction entre sécurité et sûreté ne soit pas suffisamment prise en compte”. La sûreté apparaît comme une priorité depuis des générations. En revanche, la sécurité, et en particulier la cyber sécurité, est une préoccupation beaucoup plus récente.
Pour autant, selon lui, le secteur aéronautique a été l’un des premiers à traiter conjointement ces deux problématiques. La raison ? Une “vigilance presque obsessionnelle quant aux interactions possibles entre ces deux champs”.
Le résultat de cette vigilance ? Un système de gestion des avions composé de quatre domaines distincts. Ces domaines déterminent la façon dont les logiciels et les équipements vont être utilisés à bord.
Ce type de ségrégation assure la protection du système Aircraft Control Domain, le domaine le plus sensible en matière de sécurité. Les fabricants adoptent une approche très stricte sur le plan de la sécurité : ils considèrent par défaut les systèmes des compagnies aériennes comme non fiables.
Le domaine Passenger Information & Entertainment Services se réfère au système mondial de communications mobiles, au Wi-Fi et aux écrans de divertissement en vol.
L’échange d’informations entre ces domaines est “unidirectionnel”, ce qui signifie que les informations ne font que sortir du domaine le plus sécurisé, sans y entrer.
Le BYOD (“Bring your own device”, concept qui permet aux utilisateurs d’utiliser leurs propres appareils), correspond au domaine Passenger Owned Device Domain. Ce domaine est entièrement séparé des autres.
Plus le risque est important, plus les protections et les redondances sont élevées. Le système affecté est alors moins susceptible d’interagir avec les autres. Ce type de conception reflète une préoccupation toute particulière, à la fois pour la sécurité et la sûreté. Grâce à ce savoir précieux que possède Andrea, ses équipes peuvent concevoir et tester des systèmes de sécurité dans d’autres secteurs verticaux où la sécurité est essentielle, comme l’automobile ou l’industrie.
Peu d’experts en cyber sécurité disposent d’une expérience aussi considérable que celle d’Andrea en matière d’équipements et de logiciels.
De même, peu d’experts ont l’expérience de Hugo Teso, Head of Aviation Services chez F-Secure, et pilote commercial disposant de dix-sept ans d’expérience. Fort de son savoir-faire, il reconnaît que les “avions habilités ” nécessiteraient un nouveau type d’expertise, que lui-même possède en tant que passionné de cyber sécurité. Il fait partie d’une catégorie à part d’experts en cyber sécurité : ceux qui disposent d’une connaissance approfondie de l’avionique.
Avec l’aide d’experts comme Andrea et Hugo, F-Secure lance Aviation Cyber Security Services, des services conçus pour aider les compagnies aériennes et les organisations du secteur aéronautique à protéger leurs avions, leurs infrastructures, leurs données et leur réputation.
Ce service entend améliorer la sécurité et la sûreté dans le transport aérien, mais aussi dans tous les autres types de transport.
Catégories