C’est l’une des interventions les plus attendues de la conférence Black Hat qui s’est ouverte dimanche dernier à Las Vegas. Ruben Santamarta, un expert en sécurité de 32 ans, devrait démontrer ce jeudi 6 août que l’on peut pirater… un avion !
Sur le site officiel de la conférence, le titre de son intervention est laconique : « Terminaux Satellites de communication : pirater par air, mer et terre. » En fait, il s’agit de démontrer que les solutions matérielles et logicielles d’aide à la communication et au pilotage qui utilisent les communications satellites dans l’aérospatiale et la navigation sont hautement vulnérables.
Concrètement, il a fonctionné par rétroingénierie. Il s’est procuré le matériel commercialisé par des sociétés comme Harris, Hugues, Cobham, Thuraya, JRC et Iridium. Après de multiples simulations en laboratoire à Madrid, il est en mesure d’affirmer aujourd’hui que 100% de ces dispositifs pourraient être hackés. Leurs points faibles ? Des algorithmes de cryptage insuffisants, des protocoles non protégés, des portes dérobées et parfois des mots de passe codés en dur dans l’appareil…
Des services d’urgence et des sites industriels stratégiques concernés
Ainsi, il est imaginable selon lui qu’une personne malveillante puisse enclencher ou arrêter le pilotage automatique d’un avion en utilisant le signal wi-fi à bord ou en s’introduisant à partir des systèmes de divertissement. Santamarta n’a toutefois pas pour l’instant détaillé sa technique d’attaque…
Mais ce n’est pas tout. Il estime que les navires, aéronefs, militaires, services d’urgence, services de médias et installations industrielles (plates-formes pétrolières, gazoducs, usines de traitement de l’eau, éoliennes, etc) qui utilisent également des communications satellites seraient concernés pour les mêmes raisons. Il affirme même pouvoir modifier le firmware de certains dispositifs en leur envoyant partir un simple SMS de configuration malveillant.
De l’aveu de Santamarta, ses expériences théoriques seraient cependant difficiles à reproduire dans la réalité. Mais il souhaite faire prendre conscience de la situation aux acteurs du marché. « Ces dispositifs sont complètement ouverts. L’objectif de cet exposé est de contribuer à changer cette situation », a déclaré l’expert à Reuters.
L’un des constructeurs mis en cause, le britannique Cobham, affirme que l’accès des dispositifs est restreint au personnel autorisé et qu’il faut intervenir physiquement sur le matériel pour le détourner. Faux, répond Santamarta qui promet des révélations ce jeudi. A suivre !
Source :
L’article A Wake-up Call for SATCOm Security de Ruben Santamarta.
Suivez toute l’actu de la Black Hat 2014 et de la Defcon 22 avec notre dossier spécial
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
