Avant d'entrer dans le vif du sujet, j'aimerais juste montrer comment cette news illustre parfaitement ce qu'on pourrait appeler l'effet rumeur sur Internet. La publication initiale date du 2 janvier. Elle est mise en ligne le 3. Cryptome l'annonce le jour même sous le titre "FAA Cautions on Airliner Electronic Hazards". Wired s'en empare le lendemain, 4 janvier, et publie sous le titre "FAA: Boeing's New 787 May Be Vulnerable to Hacker Attack". Ensuite, c'est l'effusion. Comme par exemple chez Zataz qui n'hésite pas à titrer : "Boeing 787 vulnerable aux pirates informatiques". Vous remarquerez le crescendo : on passe de "la FAA se pose des questions sur les risques électroniques" à "la FAA annonce que le 787 serait vulnérable au piratage informatique" pour finir sur "le 787 est vulnérable au piratage informatique".

On notera en particulier la subtile transformation du conditionnel de Wired en franche affirmation chez Zataz. Et le chapeau de l'article qui vaut le détour :

Les nouveaux avions Boeing, les énormes 787, cacheraient une
vulnérabilité de sécurité sérieuse dans leurs réseaux
informatiques embarqués.

On notera le qualificatif d'énorme que reçoit le 787, alors qu'il est tout à fait comparable dans ses différentes versions à un A330, voire à un A340. Faute de comprendre de quoi on parle, on pourrait au moins éviter de faire l'économie d'une bonne traduction.

D'autant quand on sait combien Wired est regardant sur certains articles que ses auteurs lui soumettent. Pourvu qu'il y ait de la polémique autour, ça fera bien l'affaire. D'ailleurs, avez-vous jeté un coup d'œil à la présentation de Mark Loveless, l'expert cité en référence ? Elle n'a juste rien à voir avec le sujet, puisqu'elle parle de compromettre les laptops des autres passagers en montant un Rogue-AP à bord...


Pour démêler ce sac de nœuds, il faut évidemment reprendre le document original. Ce dernier s'intitule : "Special Conditions: Boeing Model 787-8 Airplane; Systems and Data Networks Security--Isolation or Protection From unauthorized Passenger Domain Systems Access". Et il parle effectivement de protection des systèmes informatique de bord contre les accès non autorisés, en gros contre le piratage informatique.

Prenons juste le résumé qui introduit ce document. On peut grossièrement le résumer rapidement ainsi :

  • le 787 possède une architecture de système d'information différente des avions existants ;
  • parmi ces différences, on trouve des connexions entre les domaines passager, compagnie et avionique ;
  • aucune régulation n'existe pour assurer la protection de cette infrastructure contre le piratage ;
  • le régulateur a donc ajouté des conditions spéciales pour obtenir un niveau de sûreté acceptable ;
  • des conditions spéciales spécifiques au 787 seront publiées pour prendre en compte les nouveautés.

Voilà. En gros, désolé de casser la baraque, mais ce document ne révèle pas de faille dans le système de bord du Dreamliner. Il s'agit d'une discussion sur les conditions spéciales applicables au design du système informatique de bord du 787. Ni plus, ni moins.


Aparté. C'est quoi ces fameuses special conditions, ou conditions spéciales ? Pour comprendre, il faut aborder le process de certification d'un avion commercial.

La construction d'un avion civil est, heureusement, soumis à une régulation extrêmement lourde et stricte, vous vous en doutez, de la part des autorités comme par exemple la FAA aux USA[1] ou la DGAC en France. Cette régulation consiste en un nombre certain de directives auxquelles doivent se plier les avionneurs lorsqu'ils conçoivent et produisent un avion destiné au transport de passagers. La conformité à ces directives est vérifiée par des certifications. Et ce n'est qu'une fois que cette conformité est complète que l'avion reçoit son tampon et peut aller vivre sa vie dans les aéroport du monde sous la bannière de ses acheteurs, les compagnies aériennes.

Sauf que l'état de l'art avançant à son rythme, et la régulation au sien, il arrive régulièrement que des progrès dans le premier fassent apparaître des risques nouveaux qui ne sont pas pris en compte par la seconde. C'est typiquement le cas des systèmes informatiques embarqués qu'on trouve aujourd'hui à bord des avions. Ces derniers sont nettement plus complexes qu'il y a quelques années, mettant en œuvre nettement plus de composants, hétérogènes de surcroît, et de types de connexion. Pour pallier ce genre de problème, les autorités produisent des documents spécifiques, les fameuses conditions spéciales.

Il s'agit de textes qui décrivent des points pour lesquels l'avionneur doit démontrer que les risques résiduels liés à au design de l'avion n'impactent pas sa sûreté. En gros, il doit expliquer ce qu'il met en place, les vulnérabilités possibles, les moyens de protection, les risques résiduels, etc. Bref, une sympathique analyse de risque dont la sortie doit montrer que ce système ne portera pas atteinte à l'intégrité de l'avion.


Revenons à notre 787 à présent. Boeing compte manifestement déployer dans cet avion une architecture nouvelle pour son système de bord. En particulier, cette architecture introduirait des connexions entre le domaine passager, ou PIED[2], et le domaine avionique, ou ACD[3]. On notera l'existence d'un troisième domaine dans cette architecture, l'AID[4], manifestement réservé aux données propres à la compagnie aérienne.

Ce faisant, l'avionneur introduit des risques nouveaux par rapport à ses prédécesseurs, lesquels doivent inévitablement être pris en compte lors de la certification. D'où des conditions spéciales spécifiques. Et c'est de cela que traite de document, puisqu'il relate les discussions sur l'établissement de ces conditions spéciales spécifiques. Conditions spéciales qui s'appliqueront au 787 certes, mais également à tous les avions qui pourraient exhiber une architecture du même genre, qu'il s'agisse d'un Boeing, d'un Airbus[5] ou tout autre avionneur civil.

Il est donc normal que la FAA, de part son rôle d'autorité certificatrice, se pose des questions sur cette architecture. C'est son rôle ! Ce qui serait vraiment inquiétant, ce serait justement qu'elle ne le fasse pas.


Maintenant, savoir si l'architecture de bord du 787 est vulnérable ou non relève d'une toute autre question. Le but de ce document est précisément la mise en place des conditions nécessaires, par ces special conditions, pour faire en sorte que l'avionneur montre qu'elle ne l'est pas. C'est à dire démontre qu'il aura mis en place les mesures adaptées pour que son système ne porte pas atteinte à la survie de l'avion. Et c'est bien ce qu'on attend d'un autorité de certification. Non ?

Notes

[1] Pour ne pas dire Amérique du Nord...

[2] Passenger Information and Entertainment Domain

[3] Aircraft Control Domain

[4] Airline Information Domain

[5] Qui vient de livrer son 5000e appareil, un A330-200, à Quantas