Des avions connectés, et vulnérables ? | Stormshield

En suivant l’évolution des appareils de l’aviation civile, les avions militaires embarquent de plus en plus de technologies numériques et multiplient les interconnexions avec les infrastructures au sol. Si cette hyper connectivité répond à des nécessités opérationnelles importantes, elle entraîne aussi l’apparition de nouvelles vulnérabilités. Quelles sont-elles ? Et comment s’en prémunir ? Prise de hauteur dans ce papier cyber.

Août 2018, le secrétaire de l’US Air Force, Will Roper, déclare sans ambages à la presse nationale : « On pourrait abattre l’un de nos avions avec un simple ordinateur ». Cet aveu fracassant fait suite à une expérimentation menée par le Pentagone, où des groupes de white hats devaient tenter de pirater les systèmes de bord du F-15 de l’aviation américaine. Et ces derniers sont parvenus à leur fin : la possibilité (théorique) de faire s’écraser un avion de guerre en plein vol. « Ce piratage est aussi le fait de plusieurs années de négligence de la part de l'US Air Force en matière de cybersécurité », admet alors Will Roper.

 

Hyper connectivité rime avec efficacité et… vulnérabilité

Les éléments techniques de ce piratage ne sont bien entendu pas communiqués et restent hautement confidentiels. Toutefois, si ces white hats ont pu pirater un appareil de combat d’importance aussi critique, c’est bien parce que comme nombre d’autres appareils de vol, le F-15 est désormais hautement numérique et connecté. « Le logiciel des avions de combat modernes est basé sur des millions de lignes de code. Si ce code de programmation devait être imprimé, il en résulterait une pile de papier d’une hauteur de plus de 10 mètres » explique Matthias Bertram, chef de sous-projet adjoint Engineering dans le cadre du projet ‘Nouvel avion de combat’ en Suisse, dans une ancienne interview.

Les enjeux de cyber-protection des avions de combat sont ainsi une vraie préoccupation du moment en Suisse, qui entend se munir prochainement de nouveaux F-35 américains. Si ces derniers sont présentés comme ultramodernes, ils sont aussi décriés pour leur surface d’attaque numérique très élevée. Ces appareils sont de ce fait un cas d’école pour comprendre à quelles menaces cyber peut aujourd’hui être exposé un appareil de cette envergure stratégique. Dans un rapport de l’Institut français des relations internationales (Ifri), consacré aux efforts de l’armée française pour faire face aux risques cyber, trois sous-services majeurs du F-35 sont présentés comme problématiques : le logiciel d’aide à la reconnaissance des cibles, un logiciel de maintenance prédictive de l’appareil et les simulateurs de vol dédiés à cet appareil. Le premier sous-service, le Joint Reprogramming Enterprise, compile un grand nombre de signatures connues d’appareils de combat sur le marché et permet de détecter et d’identifier automatiquement des menaces proches (chars, drones…). Le pilote est ainsi doté d’informations cruciales pour l’aider à prendre des décisions tactiques en temps réel. Problème, « une intervention sur ses mises à jour pourrait permettre à des hackers d’introduire de fausses données dans le système afin de rendre certaines cibles indétectables, ou de tromper le système de tir ». Deuxième sous-service problématique, l’Autonomic Logistics Information System est un autre logiciel embarqué. Il a pour objectif d’améliorer les capacités de maintenance prédictive de l’appareil en auto-évaluant l’état d’usure de certains de ses composants. En transmettant ce flux d’informations au siège de Lockheed Martin (le fabricant de l’appareil), il est possible d’obtenir des pièces de remplacement par anticipation d’éventuelles pannes, et donc d’optimiser la disponibilité de l’appareil. Un avantage de poids en situation de conflit. Toutefois, si ce flux d’information venait à être intercepté, les experts craignent qu’il puisse « renseigner d’éventuels ennemis sur la structure de l’avion et la teneur de ses missions ». Enfin, les pilotes des F-35 sont formés avant tout décollage sur des simulateurs de vol, troisième sous-service problématique. Ces derniers, extrêmement pointus, sont programmés pour restituer une expérience de pilotage ultra-réaliste. Or, ces simulateurs sont eux aussi ultra-connectés (notamment pour des raisons de maintenance) et la perspective de leur piratage pourrait permettre aux cyber-combattants « de déduire des informations clés sur le fonctionnement des chasseurs ».

Depuis plusieurs décennies, la sûreté de fonctionnement est bien intégrée dans les processus de développement des avions. La cybersécurité des produits est, quant à elle, beaucoup plus récente et moins intégrée dans les processus de développement.

Christopher Cachelou, Ingénieur Avant-vente Stormshield

Ces différentes vulnérabilités mettent l’accent sur les dangers cyber liés aux échanges de données entre les appareils et les infrastructures au sol. Pourtant, « dans le domaine militaire, nous cherchons à minimiser ces connections qui présentent autant de vecteurs de menace pour l’aéronef, explique Alain Mingam, architecte de sécurité Airbus. Mais les réalités opérationnelles contemporaines font que l’on se doit de disposer de communications avec le sol en apportant des mesures de sécurité idoines. » Depuis une quinzaine d’années, le secteur de l’industrie aérienne militaire a pris conscience de cette fragilité. « Depuis plusieurs décennies, la sûreté de fonctionnement est bien intégrée dans les processus de développement des avions, relate Christopher Cachelou, Ingénieur Avant-vente spécialisé dans le secteur de la Défense chez Stormshield. Elle s’appuie sur une analyse fonctionnelle des risques pour s’assurer du bon fonctionnement de l’appareil, tant sur la partie matérielle que sur la partie logicielle. La cybersécurité des produits est quant à elle beaucoup plus récente et moins intégrée dans les processus de développement. Elle s’appuie également sur une analyse des risques, mais cyber cette fois-ci – comme par exemple avec la méthode EBIOS. » Alain Mingam confirme cet état de fait, à l’échelle de l’aviation militaire comme civile. « Entre les systèmes ACARS (pour la gestion des opérations aériennes, du contrôle aérien, de la maintenance), FOMAX (pour la maintenance prédictive), ou encore les systèmes de divertissement (in-flight entertainment, IFE), les outils numériques et connectés avec le sol sont très nombreux et depuis beaucoup plus longtemps dans l’aviation civile. » Contrairement à ce que l’on serait tenté de penser, c’est donc bien souvent l’industrie civile qui pave la voie à l’industrie militaire en matière de cybersécurité. À titre d’exemple, l’A400M (appareil de transport militaire) conçu par Airbus et proposé à l’Organisation conjointe de coopération en matière d'armement (OCCAr européenne), aurait largement bénéficié des études en matière de cyber protection réalisées pour l’A380.

 

Vers une cyber-guerre dans les airs ?

La nature secrète et peu documentée des actes de cyber-guerre réduit de facto le nombre d’études de la menace cyber dans le domaine militaire. Toutefois, il est intéressant de relever celui des cyberattaques menées sur les appareils et infrastructures de l’aviation civile. D’après l’Agence européenne de la sécurité aérienne (EASA), ce nombre dépassait les 1 000 attaques par mois en moyenne en 2016 déjà...

Et si les informations autour du F-15 étaient issues de pentest, des cas avérés de piratages (plus ou moins fructueux) contre les équipements militaires aériens de plusieurs pays ont déjà été rapportés. En 2009, les ordinateurs de la base aérienne 107 de Villacoublay ont été infectés par le virus Conficker qui se serait propagé par l’intermédiaire de postes de travail sous Windows non mis à jour. De fait, plusieurs Rafales se seraient retrouvés cloués au sol, pendant deux jours, d’après une lettre confidentielle adressée au site Intelligence Online. Certains documents classés secret-défense révélés par Edward Snowden ont également prouvé que les services de renseignement américain et britannique étaient parvenus à intercepter et déchiffrer les flux vidéo de drones aériens et de chasseurs F-16 israéliens leur permettant d’obtenir des informations tactiques importantes en marge de tensions géopolitiques en Iran. En parallèle, le rapport de l’Ifri relaye le témoignage de l’ancien responsable de la cyber-défense française, le contre-amiral Arnaud Coustillière, expliquant qu’un drone tricolore de type Harfang aurait été victime d’une tentative de détournement en Afghanistan. L’attaque a finalement échoué, mais aurait tout de même perturbé la mission de l’appareil.

Enfin, les données sensibles stockées au sein des infrastructures au sol suscitent aussi la convoitise. En 2017, près de 30 Go de données commerciales (mais non classifiées) liées aux programmes de défense australiens ont été exfiltrés lors d’une cyber-attaque visant un prestataire du gouvernement. Autre exemple en 2020, quand Leonardo, l’un des principaux groupes industriels de l’aérospatial européen (d’origine italienne) constate un flux anormal de données sortant de ses systèmes et alerte les autorités italiennes. L’enquête détermine alors que l’un des ordinateurs piratés contiendrait des informations classifiées concernant le projet expérimental ‘nEUROn’. Supervisé par la France depuis 2012, ce dernier a pour but la conception d’un nouvel avion militaire dédié à la défense européenne. Plus récemment, un groupe de cyber-criminels a posté sur le dark web les détails techniques du Globaleye suédo-canadien (un avion dédié aux missions de surveillance et de renseignement militaire). Ces informations auraient été récoltées dans les systèmes de Bombardier, l’industriel canadien, qui participe à la fabrication de l’appareil.

Bien que rare, la menace d’une prise de contrôle d’appareils militaires par des moyens numériques est prise très au sérieux par toutes les nations qui les emploient. En France, l’Armée s’est déjà dotée d’un contingent de 1 100 cyber-combattants qui sera renforcé de 5 000 personnels supplémentaires en 2025, répartis au sein des armées, de la Direction générale de l’armement (DGA) et du service de renseignement extérieur français (DGSE). Sommes-nous simplement dans l’anticipation d’une cyber-guerre ? Non, d’après les propos rapportés par l’Ifri du général de brigade aérienne Didier Tisseyre, directeur adjoint du centre de commandement Comcyber : « nous avons déjà recouru à des cyberattaques sur des théâtres d’opérations où l’armée française est engagée, comme au Levant ou au Sahel. Cela peut consister à intercepter des renseignements avant une intervention, leurrer des radars antiaériens ou immobiliser des moyens de défense ennemis ».

 

Quelles manœuvres d'évitement ?

La protection cyber des avions de combat est donc un sujet ultra-sensible. En principe, protéger un avion de combat du risque cyber est similaire à la protection de tout terminal connecté à un réseau civil, comme l’évoque Matthias Bertram. Pour aller plus loin dans le domaine militaire, un découpage fonctionnel de niveau avion associé à une analyse d’impact Safety est réalisé notamment au travers d’un document nommé Functional Hazard Assessments (FHA). « C’est ce qui permet de cartographier précisément les différentes fonctions de l’appareil et les conséquences potentielles de leur dysfonctionnement, explique Alain Mingam. Nous pouvons ensuite passer en revue les vecteurs d’attaque numériques qui pourraient les perturber, identifier un risque associé et en déduire les briques de sécurité à dresser sur le chemin de l’attaquant potentiel pour rendre acceptable le risque. »

Mais quelles sont les obligations en la matière ? Au niveau français, les Opérateurs d’importance vitale, civils comme privés, doivent se conformer aux exigences en matière de cybersécurité décrites dans l’article 22 de la Loi de programmation militaire. Des exigences qui couvrent à la fois les processus organisationnels et solutions technologiques à mettre en œuvre pour sécuriser les infrastructures physiques et numériques. Au niveau européen, la directive NIS intègre dans la liste des Opérateurs de services essentiels un certain nombre d’opérateurs du secteur du transport aérien. À noter que leurs sous-traitants sont également concernés avec la directive NIS2.

D’un point de vue organisationnel, la sécurisation générale de l’avion de combat repose sur l’imbrication de trois chantiers complémentaires :

  1. la sécurité des infrastructures au sol: responsabilité du directeur de site, elle consiste en la sécurisation des bases, aéroports, centres de commandement et autres structures militaires (et civiles) essentielles au fonctionnement opérationnel du matériel militaire ;
  2. la sécurité des systèmes d’information et infrastructures réseau (SSI) : assurée par l’OSSI, elle fait traditionnellement l’objet d’une charte de sécurité informatique qui régit les processus de fonctionnement, les droits d’accès et de consultation des employés et personnel militaires et civils aux ressources numériques, etc ;
  3. la sécurité produit : du ressort du Product Security Officer (PSO), il s’agit cette fois de toutes les solutions matérielles et logicielles équipant directement le produit concerné (ici, l’avion de combat) afin de le mettre aux normes de sécurité requises.

Concernant les produits, Matthias Bertram évoque – à titre d’exemple – l’usage de firewalls assurant « les signatures, le chiffrement, l’accès en fonction des rôles, les scanners de virus ou l’analyse en temps réel des systèmes en fonctionnement ». Des solutions qui doivent également être conçues pour résister à des conditions physiques extrêmes (températures, pressions, chocs…), histoire de suivre l’appareil dans ses différents environnements.

 

Et demain ?

L’avion militaire doit désormais être pensé cybersecured-by-design. Si tel est le cas à l’avenir, une autre question se pose : comment maintenir une protection adéquate tout au long du cycle de vie de l’appareil ? Une durée de vie moyenne qui s’élève à 30 ans pour un avion de combat. À la vitesse effrénée où le monde numérique évolue, les menaces cyber de demain seront drastiquement différentes de celles d’aujourd’hui. Pour répondre à cette problématique, les constructeurs ajoutent à leurs services de maintien en conditions opérationnelles (MCO) un service de maintien aux conditions de sécurité (ou MCS). « Le MCO assure le maintien en conditions opérationnelles de l’appareil tout au long de son cycle de vie, explique Christopher Cachelou. En parallèle, le MCS assure le maintien en condition de sécurité de l’appareil tout au long de son cycle de vie. Il assure que l’appareil soit constamment mis aux bons niveaux de sécurité face à l’évolution constante des risques et des menaces cyber. » C’est par exemple l’ajout de nouvelles fonctionnalités numériques couplées à un manque d’actualisations en matière de cybersécurité qui aurait rendu vulnérable le F-15 américain.

 

Alain Mingam entraîne un peu plus loin dans les perspectives d’avenir. Là où la cybersécurité est aujourd’hui pensée comme un empilement de barrières visant à interdire ou freiner toute tentative de cyberattaque, constructeurs et éditeurs planifient la riposte. « Nous mettons en place des protections ; mais aucune protection n’est impénétrable, il faut donc imaginer autre chose ». Que se passerait-il alors si ces protections étaient capables de réagir, d’évoluer pour mieux répondre à une offensive, ou même permettre au défenseur de contre-attaquer ? « C’est à cet enjeu qu’est dédié notre volet de cyber-défense, et nous inventons des architectures composées de dispositifs de monitorage et de capacités de réactions. Nous évoluons vers de véritables procédés de lutte défensive informatique en temps réel. » À la guerre comme à la guerre, la cybersécurité ne consisterait alors plus à encaisser les coups, mais aussi à les rendre.

Partager sur

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
La coutume est de dire que l’avion est le moyen de transport le plus sûr du monde. Pour que l’adage s’applique également à la cybersécurité, Stormshield accompagne l’industrie aéronautique, avec des solutions de confiance qui répondent à ses enjeux de protection. Pour faire face ensemble aux turbulences cyber.
À la recherche d’une solution de sécurité extra- durcie ? Pare-feu chiffreur adapté aux fortes contraintes, le SNxr1200 répond aux besoins de durcissement du niveau de sécurité des communications. Stockage sécurisé des secrets, analyse IPS des flux VPN, conformité avec le mode Diffusion Restreinte (DR) sont autant de garanties pour une protection maximale de vos communications les plus sensibles. Et ses composantes hardware lui permettent de faire face aux situations les plus extrêmes de forte humidité, d'altitude, d'eau, de poussière ou encore de brouillard salin.
À propos de l'auteur
mm
Stéphane Prevost Product Marketing Manager, Stormshield

Après plus de 10 ans à forger son expérience en informatique et en R&D, Stéphane a rejoint Stormshield en 2008, en tant que Product Manager. Avec cette double compétence en cybersécurité et marketing produit, il contribue à la promotion des produits Stormshield depuis son poste de Product Marketing Manager. Sa curiosité, sa créativité et son expérience favorisent la vulgarisation et la création de messages percutants autour des produits de sécurité.