Contexte actuel

Les évolutions technologiques de ces dernières années ont permis plus de connec-tivité à bord des avions. En 2008, le Dreamliner (Boeing 787) est présenté comme le premier avion commercial doté de capacités de connectivité ou "e-enabled air-craft" [Boeing 2009]. Au-delà de la réduction des coûts motivée par ces avancées, les compagnies aériennes cherchent à améliorer en continu leur expérience utilisa-teur, ou encore à diminuer leur impact sur l’environnement. Cependant, les me-naces informatiques profitent également de cette connectivité accrue, et la sécurité des systèmes d’information avion, sans grand impact jusqu’à présent, est un sujet important à prendre en compte pour le futur.

1.3.1.1 Evolution des menaces

Ces dernières années ont vu émerger de nouvelles menaces informatiques sur des systèmes isolés ou embarqués. Par exemple, le verStuxnet [Chen 2011] est par-venu à perturber les systèmes de commande hors ligne d’une centrale nucléaire iranienne en 2010. Il a ainsi démontré la possibilité de développer des logiciels mal-veillants sophistiqués afin d’atteindre un but très précis, visant en particulier des infrastructures critiques. En 2015, la prise de contrôle d’une Jeep Cherokee depuis l’extérieur [Greenberg 2015] a également démontré l’existence de nouveaux vecteurs d’attaque liés à des équipements embarqués de plus en plus connectés.

Concernant le domaine aéronautique, des acteurs se lancent spécifiquement à la recherche de failles de sécurité sur des équipements avioniques afin de faire réagir l’industrie aéronautique. On peut citer par exemple la présentation d’Hugo Teso à la conférence Hack in the Box de 2014 (Amsterdam) [Teso 2013], sur ses travaux

de reconstruction en laboratoire d’un cockpit avionique et prise de contrôle sur cet environnement depuis l’extérieur.

Plus récemment, en 2017, des tests d’intrusion commandités par le gouverne-ment américain ont été effectués avec succès sur le Boeing 757 [Biesecker 2017]. En deux jours, les équipes de Robert Hickey ont été capables d’identifier et d’exploiter des vulnérabilités pour établir une présence dans le système de l’avion, sans accès physique à celui-ci. En 2019, un test d’intrusion effectué sur le F-15, avec accès physique à l’avion cette fois, a montré plusieurs vulnérabilités critiques pouvant affecter le système TADS (Technical Assistance Database System) [Marks 2019]. Ce système recueille des images et d’autres informations à partir des capteurs de l’avion. En 2019 également, la société IOActive a découvert des vulnérabilités dans le firmware d’une passerelle réseau utilisée sur le Boeing 787 [Santamarta 2019]. Ce firmware était exposé sur internet, ce qui a permis à la société de le télécharger et d’y appliquer des techniques de rétro-ingénieurie. Une attaque théorique des systèmes avioniques via l’extérieur, exploitant les vulnérabilités précédemment trouvées, a été présentée lors de la conférence Black Hat USA 2019.

1.3.1.2 Evolution des systèmes avioniques

En paralèlle, les systèmes avioniques évoluent également pour répondre à de nou-veaux défis tels que la connectivité des passagers, la diminution de la consommation énergétique, l’optimisation des trajectoires, ou la mise à jour de données extérieures en cours de vol (par exemple, les données météo). Ces défis poussent les systèmes avioniques vers plus de connectivité, que ce soit avec l’extérieur (connexion internet aux passagers, mises à jour "over-the-air" des équipements avion, partage de plan de vol) ou à l’intérieur de l’avion (architecture IMA inter-connectée à travers tout l’avion, partage de données de vol aux passagers via les systèmes de divertissement IFE (In-Flyt Entertainement), mutualisation des systèmes de communication avec l’extérieur). On retrouve également plus d’équipements de type COTS, permettant de réduire les durées et les coûts de développement.

Ces évolutions, si elles sont bien maîtrisées d’un point de vue safety, tendent cependant à élargir la surface d’attaque d’un point de vue security. En effet, plus de connectivité implique plus de portes d’entrée potentielles dans les systèmes, et plus de possibilités de trouver des vulnérabilités à l’intérieur du réseau de l’avion. L’utilisation de COTS implique également une maîtrise moins complète des équi-pements. Si aucun cas de prise de contrôle malveillante d’un avion en vol n’est à déplorer aujourd’hui, il faut cependant être conscient que la menace est réelle et que ce n’est plus une question de "si" mais de "quand" est-ce que cela va arriver.

1.3.1.3 Evolution de la réglementation

Le transport aérien est aujourd’hui l’un des modes de transport les plus sûrs. Les derniers rapports IATA sur la sûreté des vols [IATA 2018] montrent une diminution significative du nombre d’accidents sur le long terme, avec une année record en 2017

1.3. Problématiques de sécurité dans l’avionique 17

(seulement 19 décès à bord pour plus de 4 milliards de voyageurs sur 41.8 millions de vol). Ces chiffres résultent d’une culture historique de la sécurité-innocuité, ancrée depuis longtemps dans l’ensemble des processus de développement et d’opération des systèmes avioniques. En ce qui concerne la sécurité-immunité, de nombreuses mesures physiques permettent de l’atteindre aujourd’hui, par exemple par des me-sures de protection d’accès aux aéroports, des procédures d’embarquement, et la qualification des opérateurs aéronautiques. Le développement de mesures logicielles ou matérielles est plus récent, et se doit de protéger l’avion contre des menaces telles que décrites Section 1.3.1.1, au vu des nouveaux vecteurs d’attaque potentiellement introduits par l’évolution des systèmes telle que décrite Section 1.3.1.2.

L’ARINC 811 (Commercial Aircraft Information Security Concepts of Operation and Process Framework), édité en 2005, propose une base de définitions quant à la sécurité des systèmes d’information des aéronefs commerciaux, ainsi que des recom-mandations pour sa mise en œuvre. Ce document, à l’attention des constructeurs (développement de l’aéronef) et des compagnies aériennes (opération de l’aéronef), n’est pas directement utile pour se protéger contre une attaque informatique ou pour éviter l’exploitation de vulnérabilités présentes dans des applications. Cependant, il définit le cycle de vie de la configuration de l’aéronef, les modes des systèmes, les rôles de sécurité, les objectifs de sécurité de l’information, etc.

En particulier, l’ARINC 664 part 5 ou A664p5 (Aircraft Data Network, Part 5, Network Domain Characteristics and Interconnection) définit quatre domaines de réseaux dans un avion.

— ACD (Aircraft Control Domain) : C’est celui dans lequel se trouvent

les applications de commande et de contrôle de l’appareil, notamment les calculateurs d’une architecture IMA. Ce domaine est le plus critique de l’avion.

— AISD (Airline Information Services Domain): Ce domaine regroupe les

différents supports relatifs au vol, à la cabine, et à la maintenance de l’aéronef. Ces services, bien que moins critiques que ceux du domaine ACD, restent très critiques vu leur impact potentiel sur l’exploitation de l’appareil (notamment la partie maintenance).

— PIESD (Passenger Information and Entertainment Services

Do-main) : Les communications avec les passagers sont effectuées dans ce

do-maine. Il y a notamment les services de gestion des écrans de divertissement (système IFE) et les interfaces de connexion des périphériques des passagers.

— POD (Passenger-Owned Devices) : Ce dernier domaine considère

l’en-semble des équipements appartenant aux passagers (ordinateurs portables, smartphones, consoles de jeu). Dans les avions les plus récents, il existe même des interfaces spécifiques du domaine PIESD permettant de connecter ces équipements à un réseau de la compagnie aérienne, par exemple pour propo-ser une connexion internet aux passagers.

L’application de ces deux standards se retrouve par exemple sur l’A380 et l’A350, avec la mise en place de diodes réseau pour séparer les domaines de criticité diffé-rente, et la mise en place de protections périphériques comme une PKI (Public Key

Infrastructure) permettant de distribuer les mises à jour des systèmes avioniques de façon sécurisée.

Depuis 2014, trois standards de l’EUROCAE ont été publiés, à partir des recom-mandations éditées dans l’ARINC 811. Plus précisément, l’ED-202/DO-326 ( Air-worthiness Security Process Specification) adresse les aspects de certification relatifs à la sécurité, l’ED-203/DO-356 (Airworthiness Security Methods and Considera-tions) propose des méthodes et recommandations pour démontrer la sécurité de l’aéronef tout au long de son cycle de vie, et l’ED-204/DO-355 (Information Secu-rity Guidance for Continuing Airworthiness) présente des recommandations pour la sécurisation du cycle de vie de l’aéronef (opération, support, maintenance, admi-nistration et déconstruction).