Une plaisanterie douteuse

Le 15 avril dernier, l’expert en sécurité Chris Roberts, fondateur et directeur technique de One World Labs, a plaisanté sur la sécurité du Wi-Fi lors d’un vol à destination de Syracuse, New York de la compagnie aérienne United Airlines.

EICAS ou engine-indicating and crew-alerting system, est un tableau de bord intégré donnant des informations vitales au pilote sur les moteurs et autres systèmes critiques.

À la sortie de l’avion, il était accueilli par des agents du FBI qui l’ont questionné durant des heures, et qui lui ont confisqué son ordinateur portable ainsi que d’autres appareils électroniques, sans mandat comme le faisait remarquer son avocat. Ironiquement, il se rendait à Syracuse pour donner une conférence sur la sécurité à des membres des forces de l’ordre.

 

Interdiction de vol

Trois jours plus tard, Roberts, après avoir récupéré sa carte de bord à l’aéroport, pour un vol vers San Francisco, où il devait présenter plusieurs sessions de la RSA Conference (La Mecque de la sécurité), après avoir passé la sécurité et être arrivé à la porte d’embarquement, se voit interdire l’embarquement par des agents de sécurité de United Airlines, l’informant qu’il recevra une lettre motivant l’interdiction.

Un porte-parole de la compagnie affirmera à l’Associated Press que d’une part, les systèmes de divertissement et de Wi-Fi à bord de ses avions étaient inviolables, d’autre part que Roberts était interdit à vie de voler sur la compagnie.

 

Mise en garde fédérale

Aujourd’hui, le FBI et la TSA, l’homologue américain de la direction générale de l’aviation civile, ont alerté les compagnies aériennes sur Infragard en leur demandant une vigilance particulière contre les tentatives de piratage à bord des réseaux Wi-Fi et des systèmes de divertissement. Elles affirment qu’il n’a pas été prouvé que ces systèmes puissent être piratés, et que leur piratage puisse donner accès aux systèmes avioniques, mais que la publicité donnée par les médias à l’affaire pourrait inciter des personnes malintentionnées à procéder à des tests.

Roberts a recherché et a démontré des failles de sécurité depuis cinq ans dans les systèmes avioniques  des avions modernes, et il a mis en garde des compagnies aériennes peu enclines à laisser tester leurs systèmes, que la convergence des systèmes critiques et peu critiques comme le Wi-Fi ou le système de divertissement, posaient des problèmes de sécurité et de sûreté.

Ni lui, ni d’autres spécialistes de la sécurité, n’ont jamais eu de réponse d’Airbus ou de Boing quant à ces inquiétudes. Roberts affirme que c’est ce mur du silence qui a motivé ce tweet malheureux.

 

Une réaction excessive

Il y a deux mois, il rencontrait le FBI dans leur bureau de Denver, qui lui demandait de cesser ses recherches sur l’avionique, ce qu’il acceptait. Mais ces dernières semaines, de nombreuses chaînes de télévisions comme CNN et FOX lui demandaient de participer à des émissions sur le piratage des avions.

Roberts, qui regrette et reconnaît le mauvais goût du tweet, pense que cette agitation médiatique est la cause véritable des réactions excessives du FBI et de United Airlines.

Si de fausses alertes sont à prendre au sérieux, on peut en effet se demander dans ce cas particulier, pourquoi les autorités ont réagi comme elles l’ont fait. Si le FBI connaissait suffisamment bien Robert pour surveiller en temps réel son compte Tweeter, et si à la suite du Tweet elles n’ont pas décidé qu’un danger imminent nécessitait une procédure d’urgence, c’est que l’agence fédérale savait pertinemment que Roberts ne posait pas de danger.

Mark Rash, un ancien avocat du Department of Justice, affirme à The Security Ledger: *

« Si cette personne va sur Fox et CNN pour parler de ce sujet, ils savent avec certitude qu’il n’est pas une menace »

Quoi qu’il en soit, la sécurité par l’obscurité est une illusion dangereuse, et l’on devrait s’inquiéter du refus des deux plus grands fabricants d’avion au monde de laisser des experts indépendants tester la sécurité de leurs systèmes électroniques à bord.

 

* Traduction: Le Diligent