Un hacker affirme avoir pris le contrôle d’un avion depuis un siège passager

Cette démonstration d’un spécialiste de la sécurité informatique à bord d’un avion entre Chicago et Syracuse a de quoi inquiéter, même ceux qui n'ont pas peur de l’altitude. Chris Roberts affirme avoir piraté le système de pilotage d’un avion de ligne alors qu’il était à bord.

Il aurait réussi à contraindre l’appareil à se déporter sans que les pilotes puissent intervenir. C’était en avril dernier. Il a fait connaître son exploit dans un tweet qu’il a publié avant l’atterrissage. Il a été arrêté par le FBI dès sa descente de l’avion. Le magazine Wired s’est procuré le rapport de l’agent fédéral chargé de l’affaire. 

Pour réussir cet exploit, l’expert s’est connecté au système de divertissement qui permet aux passagers de regarder des films ou d’écouter de la musique via le boitier de connexion installé sous son siège. C’est par ce biais que Chris Roberts est entré dans le réseau informatique de l’avion pour en prendre les commandes.

Le FBI demande de mieux surveiller les passagers

Les intentions de Chris Roberts n’ont rien de criminelles. Ce professionnel est un lanceur d’alerte membre du One World Labs, une association dont il est l’un des fondateurs dont la mission est d’identifier les risques avant que les cybercriminels ne les découvrent. 

En piratant ce vol, Roberts voulait prévenir une nouvelle fois les autorités sur la possibilité de prendre le contrôle d’un avion en se servant des appareils électroniques ou du Wi-Fi mis à la disposition des passagers. Il affirme avoir déjà réussi une dizaine de fois depuis 2011. 

En mars dernier, il démontrait déjà que cette pénétration d’un réseau était possible, même si ce n’est pas à la portée du premier venu. Lors d’une interview vidéo, il a précisé que cette opération nécessite un matériel sophistiqué, mais qu’elle est largement possible.

Désormais, les autorités américaines demandent au personnel de bord de veiller plus que jamais sur les comportements suspects. Le FBI leur conseille de "faire attention aux passagers qui tenteraient de se connecter aux ports réseaux situés sous leur siège". 

Prendre le contrôle d'un appareil avec un smartphone sous Android

Malgré cela, les services de sécurité restent prudents. Ils affirment ne pas encore avoir la preuve que Chris Roberts ait bien réussi à hacker un avion comme il le prétend. "Tout cela reste très théorique et nous ne disposons d’aucune preuve que Roberts ait fait cela", indique l'agent du FBI auteur du rapport. Il rappelle que les "tentatives d’accéder sans autorisation à des réseaux à bord d’un avion commercial est une violation du droit fédéral." Même si la porte est grande ouverte ? Car le problème qui se pose n’est pas une première.

En avril dernier, lors des conférences du congrès Hack in the Box qui s’est tenu à Amsterdam, Hugo Teso, un autre consultant en cybersécurité a fait une démonstration au moins aussi inquiétante que celle de Chris Roberts. Ce consultant qui est aussi titulaire d’une licence de pilote, a démontré en public comment reprogrammer le FMS (Flight Management System) d’un appareil pour en prendre le contrôle avec un smartphone sous Android.

Cette démo a été réalisé virtuellement avec du matériel très sophistiqué. Est-elle possible dans la vraie vie ? Les spécialistes en doutent. Pour la FAA, l’autorité aéronautique américaine, avec la méthode d’Hugo Teso, il serait au mieux possible d’éteindre et d’allumer les lumières.

En attendant, la police américaine ne veut pas prendre de risque. Bien qu’aucune charge n’aient été retenues contre lui, Chris Roberts est interdit de vol. Il a aussi affirmé à Wired qu’après son dernier exploit, plusieurs investisseurs avaient décidé de ne plus financer One World Labs et qu’il été contraint de licencier la moitié de son personnel.