Les avions de radionavigation utilisés pour atterrir en toute sécurité sont peu sûrs et peuvent être piratés

À peu près tous les aéronefs qui ont volé au cours des 50 dernières années, qu'il s'agisse d'un Cessna monomoteur ou d'un gros porteur à réaction de 600 places, sont aidés par des radios pour atterrir en toute sécurité dans les aéroports. Ces systèmes d'atterrissage aux instruments (ILS) sont considérés comme des systèmes d'approche de précision car, contrairement au GPS et aux autres systèmes de navigation, ils fournissent un guidage crucial en temps réel sur l'alignement horizontal de l'avion avec une piste et son angle de descente vertical. Dans de nombreux contextes, notamment lors d'atterrissages nocturnes brumeux ou pluvieux, cette navigation par radio constitue le principal moyen de garantir que les avions atterrissent au début d'une piste et sur son axe.

Comme beaucoup de technologies construites au cours des décennies précédentes, l'ILS n'a jamais été conçu pour être protégé du piratage. Les signaux radio, par exemple, ne sont ni cryptés ni authentifiés. Au lieu de cela, les pilotes supposent simplement que les tonalités que leurs systèmes de navigation radio reçoivent sur la fréquence attribuée publiquement à une piste sont des signaux légitimes émis par l’exploitant de l’aéroport. Ce manque de sécurité n'a pas été une source de préoccupation majeure au cours des années, en grande partie à cause du coût et de la difficulté d'user de signaux radio malveillants pour rendre les attaques irréalisables.

Maintenant, les chercheurs ont mis au point un hack à faible coût qui soulève des questions sur la sécurité des ILS, qui sont utilisés dans pratiquement tous les aéroports civils du monde industrialisé. En utilisant une radio définie par logiciel de 600 $, les chercheurs peuvent usurper les signaux des aéroports de manière à faire en sorte que les instruments de navigation du pilote indiquent faussement qu’un avion est hors de cap. L’entraînement normal obligera le pilote à ajuster le taux de descente ou l’alignement de l’avion en conséquence et à créer un accident potentiel.

L'une des techniques d'attaque consiste à utiliser des signaux usurpés pour indiquer que l'angle de descente d'un avion est plus graduel qu'il ne l'est réellement. Le message usurpé générerait ce que l’on appelle parfois un signal de «descente» qui demande au pilote d’intensifier l’angle de descente, ce qui pourrait éventuellement amener l’appareil à toucher le sol avant d’atteindre le début de la piste.

La vidéo ci-dessous montre une manière différente dont les signaux falsifiés peuvent constituer une menace pour un avion en approche finale. Les attaquants peuvent envoyer un signal qui amène l'indicateur d'écart de route du pilote à montrer qu'un avion se trouve légèrement trop à gauche de la piste, même lorsque l'avion est parfaitement aligné. Le pilote réagira en guidant l'avion vers la droite et par inadvertance en direction de la ligne médiane.

Les chercheurs de la Northeastern University de Boston ont consulté un pilote et un expert en sécurité au cours de leurs travaux. Ils ont tous pris soin de noter que ce type d'usurpation d'identité ne risquait probablement pas de faire s'écraser un avion. Les dysfonctionnements ILS constituent une menace connue pour la sécurité de l'aviation et les pilotes expérimentés reçoivent une formation approfondie sur la manière de réagir. Un avion mal aligné avec une piste sera facilement visible par le pilote dans des conditions dégagées, et le pilote pourra effectuer un survol d’approche interrompue.

Une autre raison du scepticisme mesuré est la difficulté de mener une attaque. En plus du SDR, l'équipement nécessaire aurait probablement besoin d'antennes directives et d'un amplificateur pour amplifier le signal. Il serait difficile de glisser tout ce matériel dans un avion si le pirate informatique choisissait une attaque à bord. Si le pirate informatique choisissait de monter l'attaque depuis le sol, il faudrait probablement beaucoup de travail pour aligner le matériel avec une piste sans attirer l'attention. De plus, les aéroports surveillent généralement les interférences sur les fréquences sensibles, ce qui permet de mettre fin à une attaque peu de temps après le début de celle-ci.

En 2012, le chercheur Brad Haines, qui a souvent recours à Renderman, a exposé des vulnérabilités dans la surveillance dépendante automatique diffusée - les systèmes de diffusion utilisés par les avions pour déterminer leur emplacement et les diffuser à d'autres. Il a résumé les difficultés rencontrées par les ILS dans le monde réel en usant de cette façon:

Si tout était prévu pour cela, emplacement, dissimulation d'équipement, mauvaises conditions météorologiques, cible appropriée, attaquant motivé, subventionné et intelligent, quel en serait le résultat? Dans le pire des cas, un avion heurte l'herbe et des blessures ou des décès sont causés, mais les équipes d'urgence et la sécurité des avions font en sorte qu'il est peu probable qu'un incendie spectaculaire se produise si toutes les mains sont perdues. À ce stade, les atterrissages dans les aéroports sont suspendus afin que l'attaquant ne puisse pas répéter l'attaque. Au mieux, le pilote remarque le désalignement, brunit son short, remonte et fait le tour et appelle une note de maintenance indiquant que quelque chose est funky avec l'ILS et que l'aéroport commence à enquêter, ce qui signifie que l'attaquant ne veut probablement pas rester à proximité.

Donc, si tout cela concorde, le résultat net semble assez mineur. Comparez cela au retour sur investissement et à l'impact économique d'un crétin avec un drone de 1 000 $ volant à l'extérieur de Heathrow pendant 2 jours. Je parie que le drone était beaucoup plus efficace et certain de fonctionner que cette attaque.

Pourtant, les chercheurs ont déclaré que les risques existaient. Les avions qui n'atterrissent pas selon la trajectoire de descente - la trajectoire verticale imaginaire suivie par un avion lors d'un atterrissage parfait - sont beaucoup plus difficiles à détecter, même lorsque la visibilité est bonne. De plus, certains aéroports à fort volume, pour garder les avions en mouvement, demandent aux pilotes de retarder la prise de décision de survol, même lorsque la visibilité est extrêmement réduite. Les opérations d'approche de catégorie III de la Federal Aviation Administration, qui sont en vigueur dans de nombreux aéroports américains, exigent une hauteur de décision de seulement 50 pieds, par exemple. Des directives similaires sont en vigueur dans toute l'Europe. Ces directives laissent un pilote avec peu de temps pour interrompre un atterrissage en toute sécurité si une référence visuelle ne s'alignait pas avec les lectures ILS.

«La détection et la récupération de toute défaillance d’instrument au cours de procédures d’atterrissage cruciales est l’un des défis les plus difficiles de l’aviation moderne», ont écrit les chercheurs dans un article intitulé «Attaques sans fil sur les systèmes d’atterrissage des instruments d’aéronef», accepté lors du 28e Symposium USENIX sur la sécurité. «Compte tenu de la forte dépendance à l’égard des ILS et des instruments en général, les dysfonctionnements et les ingérences contradictoires peuvent être catastrophiques, en particulier dans les approches et les vols autonomes.»

Que se passe-t-il avec les échecs ILS?

Plusieurs atterrissages presque catastrophiques au cours des dernières années démontrent le danger que représentent les défaillances de l'ILS. En 2011, le vol Singapore Airlines SQ327, avec 143 passagers et 15 membres d’équipage à bord, s’est incliné vers la gauche à environ 30 pieds au-dessus d’une piste de l’aéroport de Munich en Allemagne. À l’atterrissage, le Boeing 777-300 s’écartait à gauche de la piste, puis virait à droite, traversait la ligne médiane et s’arrêtait avec l’ensemble de son train d’atterrissage dans l’herbe, à droite de la piste. L'image ci-dessous montre les conséquences. L'image ci-dessous qui décrit le parcours de l'avion.

Un rapport d'incident publié par le Bureau fédéral allemand d'enquête sur les accidents d'aviation a déclaré que l'avion avait raté le point de toucher le sol prévu d'environ 1 600 pieds. Les enquêteurs ont déclaré que l’un des facteurs de l’accident était des signaux de localisation qui avaient été déformés par un avion en partance. Bien qu'aucune blessure n'ait été signalée, l'événement a mis en évidence la gravité des dysfonctionnements de l'ILS. Parmi les autres accidents quasi catastrophiques entraînant des défaillances ILS, il y a le vol Air New Zealand NZ 60 en 2000 et le vol Ryanair FR3531 en 2013. La vidéo ci-dessous explique ce qui s'est mal passé lors de ce dernier événement.

Vaibhav Sharma dirige des opérations mondiales pour une société de sécurité de la Silicon Valley et pilote de petits avions d’aviation depuis 2006. Il est également opérateur radio agréé et bénévole auprès de la Civil Air Patrol, où il est formé en tant qu’équipage de conduite de recherche et sauvetage. membre de l'équipe de communication radio. Il est le pilote contrôlant le simulateur de vol X-Plane dans la vidéo illustrant l'attaque d'usurpation d'identité qui a entraîné l'atterrissage de l'avion à droite de la piste.

Sharma a dit à Ars:

Cette attaque ILS est réaliste, mais l'efficacité dépendra d'une combinaison de facteurs, notamment la compréhension par l'attaquant des systèmes de navigation aérienne et des conditions de l'environnement d'approche. S'il était utilisé correctement, un attaquant pourrait utiliser cette technique pour diriger l'aéronef vers des obstacles autour de l'environnement de l'aéroport. Si cela se produisait par faible visibilité, il serait très difficile pour l'équipage de conduite d'identifier et de gérer les écarts.

Il a ajouté que les attaques pourraient menacer à la fois les petits avions et les gros porteurs, mais pour des raisons différentes. Les petits avions ont tendance à se déplacer plus lentement que les gros jets. Cela donne aux pilotes plus de temps pour réagir. Les gros porteurs, en revanche, ont généralement plus de membres d’équipage dans le poste de pilotage pour réagir aux événements indésirables, et les pilotes reçoivent généralement une formation plus fréquente et plus rigoureuse.

Les conditions les plus importantes, telles que les conditions météorologiques au moment de l’atterrissage, seront probablement les considérations les plus importantes pour les gros et les petits avions, at-il ajouté.

"Le type d'attaque démontré ici serait probablement plus efficace lorsque les pilotes doivent compter principalement sur des instruments pour effectuer un atterrissage réussi", a déclaré Sharma. «De tels cas incluent des atterrissages nocturnes avec une visibilité réduite ou une combinaison des deux dans un espace aérien occupé, nécessitant des pilotes qui gèrent des charges de travail beaucoup plus lourdes et qui dépendent finalement de l'automatisation."

Aanjhan Ranganathan, un chercheur de la Northeastern University qui a contribué au développement de l'attaque, a déclaré à Ars que les systèmes GPS permettaient peu de solutions de repli lorsque l'ILS échouait. Une des raisons: les types de désalignements de piste qui seraient efficaces en cas d’attaque par usurpation vont généralement d’environ 32 à 50 pieds, étant donné que les pilotes ou les contrôleurs aériens détecteront visuellement tout ce qui est plus gros. Il est extrêmement difficile pour le GPS de détecter des compensations malveillantes aussi petites. Une deuxième raison est que les attaques d'usurpation GPS sont relativement faciles à mener.

"Je peux usurper le GPS en synchronisation avec cette usurpation [ILS]", a déclaré Ranganathan. "C'est une question de motivation de l'attaquant."