generic airplane in the sky

Avions étrangers, risques intérieurs

Lucas Morel

La modernisation d’un héritage et des avions étrangers pour une utilisation à haute sécurité révèle des cyber-risques profonds, mettant en évidence le besoin urgent de repenser sa sécurité / OT dans un monde post-aérien.

Clause de non-responsabilité:

J’ai récemment assisté à une conférence de cybersécurité du système de contrôle industriel (ICS), où nous avons appris à utiliser les stratégies et les outils de cybersécurité des technologies de l’information (TI) pour lutter contre la sécurité des technologies opérationnelles (OT). Il m’est apparu que la conception de base des systèmes de contrôle des avions est similaire aux systèmes OT que nous venons d’apprendre.

Les professionnels de la cybersécurité sont de plus en plus invités à sécuriser les systèmes jamais conçus pour les menaces modernes. Inspiré par les nouvelles du gouvernement américain évaluant un Boeing 747 à étranger pour une utilisation en tant qu’Air Force One (AF1), j’ai senti la rénovation d’un avion hérité à des fins de sécurité nationale offre un objectif unique dans le problème de convergence informatique / OT, ​​et pourquoi l’accès physique et les protocoles de l’héritage doivent désormais être traités comme des risques avant.

Diagramme: des systèmes d'avion vulnérables cartographiés aux menaces

Aircraft hérité, risque moderne

Alors que le 747-8 est un saut technologique au-delà de son prédécesseur, le 747-400, il conserve toujours des protocoles et des architectures hérités qui introduisent le risque, en particulier lorsqu’ils sont réutilisés pour les missions de sécurité nationale de haut niveau. Beaucoup de ces systèmes d’aéronefs ressemblent à des systèmes de contrôle industriel (ICS), tels que ceux utilisés dans les infrastructures critiques. Comme les systèmes de contrôle de supervision et d’acquisition de données (SCADA) hérités, les avions avioniques assument souvent une communication interne de confiance, un modèle de fiducie qui ne suffisait plus dans le paysage des menaces d’aujourd’hui.

Dans les milieux d’usine, ces systèmes étaient souvent «coiffés» – ils étaient isolés des autres réseaux comme une ligne de défense et seuls les employés ont été autorisés à accéder physique. L’avion a évolué de la même manière. L’une des principales lignes de défense a été d’enterrer le câblage et les composants du fuselage où le personnel non autorisé ne pouvait pas y accéder.

Étant donné que l’avion auquel nous accédons a été modernisé dans un pays étranger, nous devons supposer qu’il existe un potentiel de dispositifs implantés et dormantes ou de falsification de dispositifs communs.

Vulnérabilités clés exposées

Type de menace Impact Méthode d’activation Méthode de détection
Implants matériels Sabotage moteur / contrôle Trigger RF, logique prédéfinie Radiographie, démontage
Backdoors du micrologiciel Navigation / remplacement du système Code GPS / déclenché dans le temps Ingénierie inverse
Trackers à l’état froid Exfiltration de l’emplacement Altitude ou température Simulation environnementale
Exfiltration radar Fuites de données secrètes Modulation de la forme d’onde Analyse des signaux d’anomalie / radar
Satcom hijack Comms Interception Détournement du signal RF Surveillance du spectre, validation
Exploits de la chaîne d’outils Accès persistant Outils de diagnostic malveillant Audits source et micrologiciel
MITM sur les bus avioniques Injection de commande, attaques de relecture Taclage / usurpation du câble Analyse de l’intégrité du signal / du synchronisation
Sous-systèmes cellulaires Fuite audio ou GPS Charges utiles en bande de base dormante Spectrum criminalistique, démolir

Les protocoles hérités créent de nouvelles surfaces d’attaque

L’une des banes du monde OT est la dépendance à l’égard de la technologie héritée qui ne peut pas être facilement corrigée ou améliorée sans provoquer de perturbations majeures. De même, le Boeing 747-8 emploie une architecture de bus hybride. Bien qu’il intègre des technologies de gestion de vol modernes comme le Topflight Management System (FMS) Thales Topflight, de nombreux sous-systèmes reposent toujours sur ARINC 429 et MIL-STD-1553, des protocoles qui manquent d’authentification ou de cryptage.

Comme mentionné dans ArXIV: 1707.05032, cela peut laisser des vulnérabilités telles que l’injection de code et la manipulation, l’injection de données, la fuite de données et le dos. Même les nouveaux systèmes basés sur Ethernet utilisant AFDX (ARINC 664) manquent de garanties cryptographiques. Comme nous venons de le mentionner, traditionnellement, le 747 repose sur des contrôles physiques tels que l’accessibilité physique restreinte. Dans ce cas, ce contrôle a déjà été compromis.

Ces canaux exposent l’avion à MITM, l’usurpation et les attaques de relecture, en particulier pendant les cycles de modernisation ou de maintenance. Ukwandu et al. (2022) Mettez en évidence la lente adoption par l’industrie avionique des protocoles sécurisés. Dans les environnements de contrôle industriel, les superpositions de cryptage peuvent atténuer les menaces similaires, mais les problèmes de latence rendent cette approche difficile à appliquer aux systèmes de vol en temps réel, où la latence pourrait provoquer de graves conséquences en raison de la réponse retardée du contrôle du vol.

Graphique visualisant / OT Convergence

Implants cachés pendant la rénovation

L’accès physique pendant la modernisation introduit d’autres opportunités d’adversaires: l’intégration des implants secrètes, souvent conçus pour s’activer sous des déclencheurs environnementaux spécifiques. Munro (2020) décrit les scénarios où les ordinateurs miniatures (par exemple, la classe Pi de framboise) sont dissimulés à l’intérieur des baies avioniques ou des rails d’alimentation, indétectables sans démolition, analyse du signal ou radiographie. Ces appareils peuvent être utilisés à diverses fins.

Implants et surveillance intégrée

Les implants de surveillance peuvent être introduits lors de la rénovation, comme mentionné ci-dessus. Des dispositifs tels que les microphones RF passifs, les émetteurs-récepteurs de bande de base compromis ou les systèmes de divertissement en vol altéré peuvent capturer l’audio ou la télémétrie sensible. Habbler, Bitton et Shabtai (2022) montrent comment ces systèmes résistent aux méthodes de détection conventionnelles, ce qui rend les audits post-déploiement extrêmement difficiles. Ces implants échappent aux balayages EM standard et nécessitent une inspection de démolition ou de rayons X pour la détection.

Vecteurs de menace de surveillance

  • Microphones RF passifs. Ces appareils peuvent récolter l’audio ambiant et le transmettre en utilisant l’énergie électromagnétique récoltée, ce qui les rend extrêmement difficiles à détecter en utilisant des balayages EM traditionnels.
  • Émetteurs-récepteurs de bande de base compromis. Ceux-ci se trouvent dans les téléphones satellites, les modems LTE ou les SIM intégrés et peuvent fuir silencieusement les coordonnées GPS, les conversations ou les données système.
  • Fonds les systèmes de divertissement en vol (IFE). IFES peut sembler bénin mais s’asseoir souvent sur des panseaux de réseau segmentés mais accessibles. S’ils sont compromis, ils peuvent combler les interfaces de passagers avec l’avionique.

Canaux d’exfiltration de données non traditionnelles

En ce qui concerne l’exfiltration des données dans un environnement informatique / OT traditionnel, nous comptons souvent sur les attraper en sortant en surveillant les méthodes de transmission. Cela devient beaucoup plus complexe sur notre 747. La modulation des émissions radar a été identifiée comme un vecteur viable pour l’exfiltration furtive. Comme indiqué dans la direction de la Tempest de la NSA (2023), ces techniques imitent le comportement normal et échappent à la détection. Les voies supplémentaires incluent le détournement SATCOM, les balises Bluetooth ou le scintillement à LED optique, tous sous-contrôlés dans des avions hérités. Fourniture de ce plan pour une utilisation en tant qu’AF1, nous devrons considérer ces itinéraires.

La chaîne d’approvisionnement comme cible douce

La chaîne d’approvisionnement de l’aviation continue de présenter un risque de cybersécurité important. Les composants critiques tels que le firmware, les services publics de diagnostic et les procédures de maintenance peuvent être modifiés ou compromis lors de la fabrication ou de l’intégration, en particulier lorsqu’ils impliquent des fournisseurs étrangers. Le risque d’implants malveillants ou de vulnérabilités latentes et persistantes introduites en amont est amplifiée par une visibilité limitée des fournisseurs et des contrôles de cybersécurité insuffisants à travers les niveaux (Aerospace Industries Association, 2023).

Un exemple largement cité est la violation de Solarwinds 2020, dans laquelle les attaquants ont compromis le système de mise à jour du logiciel Orion pour distribuer des logiciels malveillants à plus de 18 000 organisations, notamment les agences fédérales américaines et les sociétés Fortune 500. L’incident a révélé à quel point les vulnérabilités profondément ancrées dans les pipelines de fiducie des fournisseurs peuvent contourner les défenses du périmètre et persister pendant des mois

Compromis intérieur

Les intérieurs de cabine présentent des risques importants, en particulier dans les missions classifiées. Les sièges, les partitions et les prises de courant peuvent masquer les dispositifs de surveillance passifs ou les circuits logiques.

Pour s’aligner sur les normes SCIF et TEMPEST, les meilleures pratiques demandent:

  • Décroissance complète et reconstruire des composants intérieurs
  • Rayon X et RF Scanning des cavités structurelles
  • Validation de la chaîne de garde pour tous les remplacements
  • Test de blindage RF et d’intégrité acoustique

Des normes telles que RTCA DO-355, DO-356A et CNSSAM Tempest / 1-13 sont essentielles pour répondre aux mandats des transports exécutifs et de la continuité du gouvernement, Baker, Arlen et Parkinson, Paul. (2018).

Aéronef de durcissement modernisé: étapes exploitables

  • Appliquer les meilleures pratiques RTCA et NIST. Des normes telles que RTCA DO-355 / 356A et NIST SP 800-53 offrent des cadres de risque de cycle de vie, des recommandations de chiffrement et des mécanismes d’audit. Bien que le chiffrement complet puisse être irréalisable, les implémentations sur mesure peuvent réduire la surface d’attaque sans compromettre les performances.
  • Valider chaque sous-système. Chaque sous-système avionique et soutien doit subir un démontage, une imagerie à haute résolution et une vérification contre les lignes de base de confiance. Les composants à défaut de cet examen devraient être remplacés par des équivalents nationaux certifiés.
  • Sécuriser la chaîne d’outils. Les vendeurs doivent répondre aux exigences de cybersécurité DFARS et idéalement le niveau CMMC 2 ou plus. Les développeurs du micrologiciel et les ingénieurs de diagnostic doivent fonctionner dans un cycle de vie de développement sécurisé vérifié (SDLC).
  • Mettre en œuvre une télémétrie et une surveillance persistantes. Les scans statiques sont insuffisants. L’analyse du comportement du réseau en cours, la détection des anomalies et l’audit médico-légal sont vitaux. Cela s’aligne sur les recommandations du DoD dans le guide d’estimation des coûts des systèmes aériens 2023.

Réalités de coût et d’acquisition

Bien qu’une cellule donnée puisse sembler économique, les coûts de modernisation peuvent correspondre ou dépasser les nouveaux achats d’avions. Les références DoD et GAO montrent que les rénovations sécurisées peuvent coûter des centaines de millions et ne pas être des assurances spécialement conçues.

Le contrôle domestique est toujours important

Le risque résiduel persiste avec des systèmes d’origine étrangère, même après une revue exhaustive. Cela souligne la justification de l’approvisionnement VC-25b (Next AF1), une plate-forme construite au niveau national, dans des conditions sécurisées. Le projet devait être achevé en 2024, Boeing estime désormais 2027-2028. Qui ferait toujours la livraison en ligne avec, ou avant un projet de rénovation, qui pourrait prendre 2 à 4 ans selon la défense One et Aviation Source News.

Pour un aperçu de ce qui irait pour essayer de sécuriser cet avion, lisez un échantillon de jeu de jeu d’équipe bleue.

Conclusion: un livre de jeu pour IT / OT Convergence

Ce scénario sert d’étude de cas à enjeux élevés pour sécuriser les systèmes cyber-physiques hérités. Les chefs de cybersécurité seront de plus en plus confrontés à des défis non conventionnels. Qu’il s’agisse d’une centrale électrique, d’une flotte héritée ou d’un avion modernisé, ceux qui peuvent le combler et les mondes OT façonneront l’avenir de la stratégie de sécurité.

Cet article est publié dans le cadre du réseau de contributeurs d’experts Foundry.
Vous voulez rejoindre?

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Anthropic and Claude
Claude AI découvre 500 vulnérabilités logicielles de haute gravité
container orchestration, clusters, clustering, Kubernetes
Quatre nouvelles vulnérabilités découvertes dans Ingress NGINX
Hacker using computer for organizing massive data breach attack on goverment servers. Hacker in dark room surrounded computers
Un nouveau groupe APT a piraté des organisations gouvernementales et des infrastructures critiques dans 37 pays