Difficile de nier son côté Geek et l’un des blogs incontournables à mon sens dans ce domaine est celui de Korben… Dernièrement, il a fait un résumé des thèmes abordés lors de la DefCon 2012 et j’ai été surpris d’y voir un thème orienté aéronautique : la sécurité de l’ADS-B…

L’analyse du hacker sur l’ADS-B

Brad “RenderMan” Haines, un des acteurs de cette manifestation, a abordé la sécurité des systèmes du contrôle du trafic aérien. Arrêtons nous un peu sur le document de ce « hacker » car le sujet mérite de s’y attarder.

Le hacker explique rapidement ce qui l’a amené à s’intéresser à ce sujet : l’application PlaneFinder AR puis la consultation de sites comme PlaneFinder, FlightRadar24, RadarVirtuel… De là, il en arrive à l’ADS-B, la technologie supposée révolutionner la gestion du trafic aérien aux USA ^[1]. Sa présentation sur l’ADS-B est synthétique et réaliste.

Là ,commencent ses interrogations sur ces flux numériques qu’il compare aux paquets circulant sur les réseaux. Il constate ainsi l’absence de cryptage et d’identification pour l’ADS-B. N’importe qui est donc capable de suivre le trafic dans une zone autour de chez lui grâce à un système dédié ^[2] voire, pourrait « interagir » avec ces trafics.

Au cours de ses recherches, il a constaté qu’il n’était pas le premier à s’interroger sur ces sujets comme un autre hacker à la Defcon 18, des radio-amateurs ou encore un chercheur de l’US Air Force… Et le constat s’avère plutôt flippant car aucun n’a eu de réponse vraiment convaincante.

Il identifie les « menaces » suivantes :

• Il est facile de récupérer des données d’un vol.
• Il est possible de savoir qui vole, où et quand ^[3].
• Il est possible de générer une piste fantôme.
• Il est possible d’altérer légèrement les données d’un vol existant.
• Il est possible de maquiller des vols illégaux (contrebande).
• Il est possible de brouiller les signaux provoquant une pagaille potentielle.
• Il est possible de saturer la fréquence de signaux puisqu’aucun protocole n’est défini pour l’empêcher.

Notre hacker se place ensuite du côté « bord » pour identifier d’autres « menaces »  :

• Il est possible de falsifier des données arrivant à un avion avec une inconnue sur les conséquences : quid du comportement TCAS, impact de fausses informations dans un cadre « freeflight » ^[4].
• L’ADS-B faisant appel au GPS, le hacker évoque la facilité de brouillage voire de la falsification des signaux GPS^[5].
• Il s’interroge sur l’utilisation de l’ADS-B comme vecteur d’infection du côté bord puisque des expériences ont été menées sur des systèmes embarqués dans d’autres moyens de transport.

Là où notre hacker avoue prendre peur c’est quand une étude commanditée par la FAA n’est pas publiée car contenant des informations sensibles mais surtout quand cette agence conclue en indiquant que le niveau de risque induit par l’ADS-B n’est pas supérieur aux risques actuels… Il s’interroge sur les menaces non encore imaginées ou identifiées et refuse le « croyez nous ! » avancé par les autorités aéronautiques : il fait un parallèle avec les puces RFID dans les passeports supposés infalsifiables^[6].

Il insiste sur le fait qu’il ne souhaite pas effrayer ou inquiéter mais juste alerter sur les éventuels risques inhérents à ce genre de systèmes, risques que nous retrouvons déjà dans la vie de tous les jours avec des véhicules truffés d’électronique plus facile à voler qu’à l’époque où il fallait juste une clé ou des téléphones portables qui peuvent laisser fuiter des données sans le consentement de leur propriétaire, etc… Il reproche également l’argument simpliste du coût excessif pour un amateur alors que des dits-amateurs ont bricolé des systèmes avec de simples tuners TV en USB…

Un point de vue « contrôle aérien »

Il est « amusant » de voir un regard extérieur sur un milieu assez fermé et dont la sécurité repose partiellement sur cette « discrétion ». Nous pourrions penser qu’ils s’agit élucubrations mais ce serait faux. Revenons sur les menaces évoquées par notre hacker.

• La récupération de données est effectivement simplifiée par l’ADS-B tout comme elle l’est déjà avec le mode S enrichi déjà répandu en Europe… Les anciens systèmes « fermés » permettaient effectivement de se contenter de diffuser un identifiant de 4 chiffres en octal difficile à exploiter sans la base de données associée. Il est donc effectivement possible de savoir qui vole, où et quand mais il reste à savoir si c’est si grave que ça.
• Il est effectivement possible de générer une piste fantôme mais il faut relativiser cet aspect : le contrôle aérien s’appuie aussi sur une base de plans de vol qui permet de valider une piste pour un vol commercial… A la rigueur un vol privé (en particulier volant en VFR) serait plus facilement falsifié mais là, encore, relativisons car les pistes fantômes pourraient être filtrées si elle ne sont pas détectés par plusieurs antennes, un peu comme certaines pistes radar aujourd’hui… S’il faut falsifier un signal pour plusieurs antennes, une sacrée puissance d’émission est nécessaire voire plusieurs sites interconnectés. Autant dire que nous nous éloignons du bricolage de « tuners USB »… Restent ensuite les « protections » imaginées par les concepteurs (comme la firme ITT Exelis qui conteste d’ailleurs l’analyse de notre hacker^[7]).
• L’altération légère des données d’un vol existant me laisse, par contre, plus dubitatif car il y aurait conflit entre les données réelles et celles altérées d’où, logiquement une alarme indiquant un problème. Le seul cas réaliste, à mon sens, consisterait à supplanter l’émetteur en couvrant son « message » ce qui revient à générer une piste fantôme qui couvrirait un vol bien réel. Là, encore, une corrélation entre plusieurs antennes semble rendre inefficace cette technique.
• Maquiller des vols illégaux me semble compliqué car les données ADS-B ne seront certainement pas les seuls éléments disponibles… Bref, la contrebande, j’y crois moyen même si, oui, un appareil pourrait se faire passer pour un autre mais, là encore, comme le dit la FAA, c’est déjà le cas : un mode S se renseigne et il n’est pas rare de voir des erreurs alors pourquoi pas une « erreur volontaire » pour se faire passer pour un autre…
• Le brouillage n’est malheureusement pas une nouveauté : même les radars primaires peuvent l’être et c’est d’ailleurs l’une des activités que toute force armée doit maîtriser pour espérer protéger ses forces aériennes… L’ADS-B ne semble pas ouvrir plus de vulnérabilités que ça au final (sauf peut être sur la facilité de fabriquer un brouilleur ?).
• Pour ce qui est de saturer la fréquence de signaux, nous retombons un peu dans le cas du brouillage même si, comme dans le cas du mode S, nous pourrions envisager une interrogation pour initier une émission (serait-ce là un protocole comme l’évoque notre hacker ?)…

D’un point de vue bord, nous avons :

• Le comportement du TCAS repose sur des échanges entre transpondeurs, l’ADS-B ne vient qu’en complément ce qui limite les risques.
• Le problème d’une information altérée est réel dès lors qu’elle sert à assurer, par exemple, la séparation entre deux vols mais ces semblent marginaux car il faudrait plutôt s’attendre à une information inexploitable en cas de tentative d’altération (les deux signaux se mêlent le rendant inintelligible).
• La fiabilité des données GPS est moins pertinent car les avions disposent de centrales à inertie recalées, au sol, via des GPS donc, même en perturbant les GPS, l’avion continue de calculer une position exacte^[8].
• L’ADS-B comme vecteur d’infection du côté bord reste, pour moi en tout cas, la grande inconnue…

Il est clair que l’absence de cryptage ou de systèmes perfectionnées d’identification laisse perplexe même si la réponse laconique de la FAA n’est pas fausse puisque, aujourd’hui déjà, nous sommes dépendants des réponses des avions et donc d’un signal qui peut être reproduit ou altéré (données du mode C ou S) même si l’utilisation de plusieurs radars (ou antennes pour l’ADS-B) permet d’en relativiser le risque. Au delà des risques techniques , il faut aussi rappeler que, plus basiquement, nous sommes déjà victimes des petits plaisantins qui « parlent aux avions »…

Bref, la sécurité des systèmes n’est pas parfaite aujourd’hui et j’espère bien que beaucoup de gens continueront à ce poser le même genre de questions que ce hacker pour faire progresser la sécurité des systèmes futurs… Même s’il ne faut pas non plus tomber dans la psychose…

Pour consulter l’article sur le site de Korben…

Pour récupérer le document sur le site du hacker.

Une tentative de création de piste fantôme

Sinon, le hacker a tenté une expérience de « spoofing » (création d’une piste fantôme via un simulateur de vol) pour illustrer son concept mais il ne faut pas oublier que la visualisation n’est pas un système ATM et donc que cette vidéo ne démontre aucune faiblesse du système en l’état actuel des choses.

[Mise à jour du 14/01/2013]

Dans un article du 11 janvier 2013, le site CSO remet sur la table un éventuel problème de sécurité dans le contrôle aérien lié aux nouvelles technologies prévues dans NextGen. L’ADS-B reste la cible principale des critiques même si le GPS est aussi évoqué. La FAA dénonce toujours la thèse évoquant la possibilité d’injecter des vols « fantômes » mais il semblerait que la transmission en clair des données continue d’inquiéter. Quant au GPS, l’article évoque la possibilité de leurrer éventuellement des drones^[9]. Pour revenir à l’ADS-B, nous ne pouvons qu’aller dans le sens de cet expert « sécurité » qui préconise de laisser tester le système pour voir s’il n’y a pas des risques fussent-ils marginaux. Avec 4 ans de retard et 330 millions de $ de dépassement budgétaire, il est facile de comprendre pourquoi certains ne semblent pas favorables à ce genre de « vérifications »…

[Mise à jour du 11/04/2013]

En réfléchissant toujours à cette sécurité de l’ADS-B et en relisant le post sur les travaux de Hugo Teso, je me suis dit que la multilatération pourrait, a priori, être mise en échec par un petit drone émettant des données ADS-B. Concrètement, cela impose au drone à se trouver à la position qu’il indique mais il pourrait, toujours a priori, tricher sur les autres données comme son altitude, sa vitesse, etc… Cette astuce reposerait quand même sur le fait que la précision du calcul de la multilatération soit plus faible que l’erreur générée (si la précision est de l’ordre de 30m par exemple, il n’est pas question pour un drone volant à 300 ou 400m de faire croire qu’il vole en fait à 10 000m). Il faudrait étudier de plus prêt cette précision de la multilatération…

1. ^[1]La technologie n’est pas nouvelle et est déjà utilisée par divers pays dont l’Australie par exemple. L’un des gros avantages est économique : plus besoin de coûteux radar puisque l’avion se charge de diffuser tous les éléments nécessaires au contrôle aérien. Je reviendrai dans un article dédié sur cette technologie.↩
2. ^[2]C’est d’ailleurs le cas de notre hacker qui suit les mouvements autour d’Edmonton.↩
3. ^[3] par qui, il faut comprendre l’indicatif du vol et non l’identité des passagers quoique, si vous savez quel vol un passager est supposé prendre…↩
4. ^[4]C’est l’un des points qu’évoquent le hacker avec la possibilité de voir les avions s’espacer entre eux en utilisant les données transmises par ADS-B…↩
5. ^[5] Il fait ainsi référence au détournement d’un drone « furtif » par l’Iran qui aurait joué avec les signaux GPS pour y parvenir. La matériel nécessaire couterait moins  de 1000 $. Pour un simple brouillage, 20 à 30 $ suffisent.↩
6. ^[6] Juste pour expliciter un peu pour les gens qui n’avaient pas suivis, à peine sortis, ces documents ont pu être reproduits à l’identique très simplement ce qui a cassé très rapidement ce mythe d’inviolabilité.↩
7. ^[7]Comme l’indique un porte parole d’ITT Exelis  dans cet article : http://www.ainonline.com/aviation-news/ainalerts/2012-08-21/hackers-faa-disagree-over-ads-b-vulnerability  ↩
8. ^[8]L’exemple du drone US capturé par l’Iran est biaisé car un UAS peut avoir des phases de vol autonomes où il est alors vulnérable à ce genre de manipulation. Avec un pilote à bord, ce risque semble réduit…↩
9. ^[9]Les militaires font appel à des signaux GPS cryptés qui limiteraient ce genre de manipulation sauf que cela reste l’une des thèses expliquant la capture récente d’un drone furtif par l’Iran…↩