Et si des hackers prenaient le contrôle du futur TGV autonome? 

Ce jeudi matin, la SNCF a dévoilé qu'elle souhaitait lancer dans quelques années des trains autonomes. L’idée est dans l’air du temps et, techniquement, rien ne s'y oppose. Reste une question qui ne peut manquer de tarauder les passagers: est-on pleinement en sécurité dans un train dont les commandes sont gérées à distance? Ne prend-on pas le risque que des pirates s’emparent, eux aussi à distance, des commandes pour obtenir une rançon… ou pire? Et que se passerait-il en cas de panne informatique?

Ces questions peuvent paraître prématurées puisque les tests ne démarreront qu’en 2019 et que les premiers trains autonomes ne circuleront au mieux qu'en 2022. Mais la SNCF a bel et bien songé à ce risque. "Il y aura forcément un personnel à bord pour intervenir en cas de problème", a déclaré au Parisien Alain Krakovitch, directeur général de Transilien qui dirige le projet.

Un humain pour intervenir en cas de cyber-attaque

Pour Gérôme Billois, expert cybersécurité pour le cabinet Wavestone, on ne pourra sans doute pas se passer de présence humaine dans un TGV autonome. Si un hacker devait prendre le contrôle du système de pilotage, il suffira au cheminot présent à bord d'actionner un freinage d'urgence. "Encore faut-il qu’il soit mécanique et pas actionnable via un réseau numérique et aussi, qu’en cas de nécessité, l’intervention du conducteur soit prioritaire". Car pour ce spécialiste, aucune technologie n’est infaillible. "S'’ils deviennent autonomes, les trains seront aussi piratables que n’importe quel système embarqué d’autant que les méthodes des cyberdélinquants deviennent de plus en plus sophistiquées".

D'autant que les pirates ne se contentent plus de prendre le contrôle des appareils, ils s’attaquent aussi à l’intelligence artificielle qui gère le réseau. "C’est la méthode appelée ‘adversarial exemple’ qui repose sur la modification des données entrantes pour leurrer l’intelligence artificielle en pervertissant son apprentissage des situations. Dans le cas d’un train, on pourrait lui faire croire qu’un feu est vert, alors qu’il est rouge", explique Gérôme Billois.

Assurer la sécurité des passagers

Un avis partagé par Tanguy de Coatpont, directeur général de Kaspersky Lab France. Cet expert recommande également, en plus d’une stratégie de défense technologique, qu'un humain soit présent pour reprendre les commandes en cas de problème. Et s'il ne faut pas tomber dans les fantasmes, mais il ne faut pas non plus sous-estimer la menace. "Un train transporte environ 400 personnes et il est hors de question de laisser une équipe de cyberterroristes menacer la sécurité des passagers".

La particularité des trains est qu'il ne faut pas seulement protéger l’informatique embarquée à bord. "Il faut déployer une stratégie globale de cyber défense pour protéger également les communications ainsi que les centres de contrôle qui gèrent les réseaux ferrés".

En lançant son projet de train autonome, la SNCF pourrait essuyer les plâtres, car, hormis quelques rames de métro, aucun train sans chauffeur n'a jamais été mis sur les rails. Le risque de cyberattaques sur des moyens de locomotion plus ou moins autonomes a en revanche déjà été étudié. En 2016, lors des conférences "Hack in Paris", Moshe Zioni, un expert en sécurité, a présenté un rapport sur le système "Multifunction Vehicle Bus" (MVB) de Siemens qui équipe depuis une décennie les trains aux États-Unis, en Allemagne en Suisse et en Autriche. Ce dispositif informatique permet au conducteur d’accélérer, de freiner ou d’ouvrir les portes. 

Ce spécialiste a été effaré en découvrant que le MVB était vieux, peu protégé, rarement mis à jour et piratable avec des moyens accessibles à tous. "C’est ce qui oblige à revoir les procédures industrielles avec des mises à jour régulières des systèmes et de leur périphériques pour anticiper les attaques", conseille Tanguy de Coatpont.

Voitures, avions, barrages et centrales électriques déjà visés

Et le risque n'est pas que théorique. L’an dernier, des experts en cybersécurité ont pris le contrôle à distance de voitures connectée et les ont fait s’arrêter sans que le chauffeur ne puisse intervenir, obligeant les constructeur à revoir leurs systèmes.

D’autres cas sont encore plus inquiétants. En 2015, un expert est entré dans le système informatique d’un avion de la compagnie américaine United Airlines pour prouver que son système de protection n’était pas fiable. En 2016, des hackers iraniens ont pris le contrôle d’un barrage près de New York et menacé de couper l’eau. Et plus récemment, un virus chinois a attaqué une centrale électrique ukrainienne privant ainsi la population d’énergie.

"Le plus difficile est de prévoir les cyberattaques avant qu’elles n’aient lieu, c’est le travail de l’Anssi qui conseille certainement la SNCF, un OIV (opérateur d'importance vitale), pour éviter le pire", indique Tanguy de Coatpont. Quelle que soit la stratégie de défense envisagée, l’humain restera donc au coeur du dispositif. Le TGV autonome ne signe donc pas la fin des conducteurs, mais ils auront certainement un jour des robots pour collègues.

https://twitter.com/PascalSamama Pascal Samama Journaliste BFM Éco