En 2017, la cyberattaque menée par le malware NotPetya avait couté un demi-milliard de dollars de pertes au géant maritime Maersk, alors que l’entreprise n'était même pas la cible de l’attaque. La même chose pourrait-elle se produire dans le secteur de l'aviation ? L’industrie aéronautique commence à se rendre compte que c'est, en effet, tout à fait possible. Dans l'attaque de Maersk, c'est l'entreprise qui a été touchée, pas les navires. Mais comme l'a signalé le mois dernier le chercheur en sécurité Chris Kubeka, dans l'aviation, les risques de cybersécurité peuvent affecter des avions en vol. Aujourd’hui, les avions modernes sont comme des « datacenters volants voyageant autour du globe ». Or, selon un nouveau rapport du Conseil Atlantique sur la cybersécurité aérienne, l'industrie aéronautique comprend mal comment protéger les passagers des risques liés à la cybersécurité.
Aujourd'hui, sans la compréhension totale du risque, sans l’expertise technique nécessaire pour atténuer ce risque et sans incitations financières ou réglementaires suffisantes, l'industrie bute sur la question, en espérant que rien de fâcheux ne se produise le temps qu’elle se prépare. Si l'industrie aéronautique ne semble pas prête à relever ce défi, le nouveau rapport donne un aperçu des obstacles qui l’empêchent d’aller de l’avant dans ce domaine.
Risques et avantages du passage au numérique
Si l'industrie de l'aviation a pris une longueur d'avance sur la sécurité pour récolter les gains d'efficacité pouvant découler d’une transformation digitale rapide, elle réalise désormais que des problèmes de sécurité peuvent se poser à tout moment, avec comme conséquences possibles une perturbation des systèmes terrestres jusqu’à l'infection par des logiciels malveillants des aéronefs, voire - ce qui est extrêmement peu probable - une interruption pouvant affecter des centaines ou des milliers d'aéronefs en même temps.
« Si l’on était rétrograde, on pourrait dire que l’abandon de l'analogique était une erreur. Mais il ne faut pas sous-estimer les gains d'efficacité qu’a permis le passage au numérique », a déclaré Pete Cooper, expert en cybersécurité aérienne au Conseil Atlantique. Celui-ci souligne aussi que la collecte de données plus granulaires a amélioré la sécurité aérienne. « Par exemple, si la collecte des données d'un système fait que la maintenance est réalisée en fonction de la durée de vie réelle du système et non de dates ou d'heures arbitraires, cela peut réduire considérablement les temps d’immobilisation », a-t-il ajouté.
« De plus, si les données du système révèlent brusquement un taux d'usure élevé (par exemple), elles inciteront à vérifier le système en fonction de son état et non d’un calendrier. Cette collecte permet également d'améliorer l'efficacité des trajectoires de vol, de réduire les temps de vol, la consommation de carburant et les émissions de CO2, et ainsi de suite », a-t-il encore souligné. Cependant, cette transformation digitale a aussi un revers : elle expose à un incident de cybersécurité potentiellement catastrophique. Contrairement aux problèmes de sécurité qui peuvent se poser dans un environnement analogique, l'usure d'une pièce ou une procédure défectueuse entraînant par exemple une erreur de pilotage, les problèmes de sécurité évoluent, de même que le ciblage des logiciels. Et une seule vulnérabilité peut exposer à un risque d’attaque de type Petya ou NotPetya.
Sûreté vs. Sécurité
L'avion demeure l'un des moyens de transport les plus sûrs, grâce en grande partie aux efforts continus entrepris pour améliorer la sécurité aérienne. De par sa culture, l'aviation a toujours récompensé et encouragé les lanceurs d’alerte : le plus humble des mécaniciens peut lever son drapeau rouge et empêcher un jet de décoller s'il remarque un problème de sécurité potentiel. Comparativement, en matière de sécurité et de signalement des vulnérabilités, la honte ou le fait de pointer du doigt et de rejeter la faute sur les autres sont plutôt la norme. Le rapport souligne le problème en ces termes : « Majoritairement, dans le domaine de la cybersécurité, il n’est pas de bon ton de parler de vulnérabilités et de défis, quand la question va au-delà de la gestion des vulnérabilités sensibles ».
Un exploit par un ver informatique ou l’introduction d’une porte dérobée lors d’une mise à jour logicielle - comme la mise à jour logicielle MeDoc qui a lancé le ver Petya - pourrait provoquer des problèmes de sécurité de grande ampleur. Il n'est pas certain que l’approche traditionnelle de la sécurité par l'industrie de l'aviation soit suffisante pour relever ce défi. Par exemple, le rapport souligne la nécessité d'un plus grand partage de l'information sur les menaces de cybersécurité dans l'aviation, reconnaissant le risque d'un scénario comme celui qu’a subi Maersk. Le rapport fait également remarquer qu’assez rapidement « d'autres secteurs ont pu mesurer l'ampleur et les coûts liés à la présence d’une vulnérabilité unique et de son exploitation par un ver. Compte tenu de la criticité du secteur et de l’ampleur des perturbations qu’un tel événement pourrait provoquer, il reste encore beaucoup à faire pour appréhender les questions de cybersécurité dans le domaine de l’aviation ».
Le rapport souligne également la prise de conscience croissante par le secteur de l’aviation d’un besoin de chercheurs en sécurité de bonne foi. Mais l'industrie s’interroge encore sur la manière de travailler avec eux. « Il y a un fort consensus sur le fait que les chercheurs de bonne foi sont une bonne chose pour l'industrie de l'aviation, mais les points de vue sur l'orientation, la clarté juridique et la facilité de divulgation de la vulnérabilité demeurent floues ou difficiles à cerner », indique encore le rapport. En attendant, attachez votre ceinture de sécurité et rangez votre tablette. Il se peut que nous soyons confrontés à des turbulences avant d'arriver là où nous voulons tous aller.