Alerte sur la sécurité des systèmes de divertissement en vol

Les chercheurs en sécurité peuvent être amenés à prendre souvent l’avion. Sur de longues distances. De quoi leur laisser le temps d’étudier la sécurité informatique de certains systèmes, comme ceux de divertissement en vol (IFE). A l’instar de Ruben Santamarta, d’IOActive. Dans un billet de blog, il explique s’être penché sur ceux développés par Panasonic pour de nombreuses compagnies – Air France, KLM, American Airlines, Singapore Airlines, Etihad, etc. – en s’appuyant sur Linux pour les plus anciens, et sur Android pour le plus récent modèle. Il a pour cela étudié des mises à jour de firmware accessibles librement sur Internet. Incomplets, ces éléments lui ont toutefois permis de découvrir des vulnérabilités ouvrant la voie à au contournement de la vérification des données de carte bancaire pour le paiement de certains services, l’accès à des dossiers/fichiers du terminal utilisateur, ou encore à des injections SQL.

Comme tous les systèmes avioniques, ceux de divertissement en vol sont encadrés par le standard DO-178B. Les systèmes étudiés sont certifiés à un niveau qui doit garantir qu’en cas de défaillance, « l’impact serait quelque chose entre aucun effet et inconfort des passagers ». Pour cela, les IFE ne dispose que d’une interface unidirectionnelle avec les systèmes de vol. Ces diodes peuvent être optiques ou électroniques. Et dans ce dernier cas, la barrière n’est pas toujours parfaite : « IOActive a réussi à compromettre d’autres modules de passerelle électronique sur des véhicules non aériens », souligne Ruben Santamarta.

Mais avant d’envisager la perspective d’un détournement d’avion par l’IFE – ce qu’a pourtant revendiqué le chercheur Chris Roberts au printemps 2015 et qui préoccupe les autorités américaines –, sa compromission pourrait permettre à un attaquant de « falsifier les informations de vol [présentées aux passagers] telles que l’altitude ou la vitesse, et montrer un itinéraire erroné sur la carte interactive ». Pire, de là, il serait théoriquement possible de compromettre l’unité de contrôle destinée à l’équipage et de jouer, par exemple, avec l’éclairage des cabines : « si toutes ces attaques sont combinées, un acteur malicieux peut créer une situation troublante et déconcertante pour les passager ». Et d’évoquer également le risque de vol de données de cartes bancaires.    

Ruben Santamarta indique avoir informé Panasonic Avionics de ses découvertes en mars 2015 et attendu aussi longtemps pour laisser un temps raisonnable au déploiement de correctifs. Pour autant, « dans un environnement aussi hétérogène, avec des dizaines de compagnies aériennes concernées et des centaines de versions de logiciel disponible, il est difficile de dire si ces problèmes ont été complètement résolus ».