L’avion de combat F-15 présenterait d’importantes vulnérabilités informatiques

« C’est un avion basé sur un logiciel, et toute plate-forme basée sur un logiciel sera susceptible d’être piratée », avait confié le général Stephen Jost, un responsable de l’US Air Force au sujet de l’avion de combat de 5e génération F-35, dans les colonnes de Defense News, en novembre 2018.

Effectivement, plus un avion militaire [mais cela est valable pour un ordinateur, une voiture, etc] est connecté à des réseaux, plus il est susceptible de présenter des vulnérabilités susceptibles d’être exploitées par un adversaire.

Tel est donc le cas du F-35, sorte de « logiciel volant » dont le fonctionnement repose sur un système d’information logistique autonome [ALIS, Autonomic Logistics Information System] ainsi que sur le JRE [Joint Reprogramming Enterprise], qui est une base de données partagée sur les systèmes d’armes d’adversaires potentiels accessible à tous les appareils de ce type en service dans le monde.

Aussi, ces systèmes, bien que faisant l’objet de toutes les attentions en matière de cybersécurité, sont toujours susceptibles de présenter des failles constituant autant de cibles potentielles pour les pirates informatiques. L’expérience que vient de faire l’US Air Force avec le F-15, un avion dit de « 4e génération », le démontre.

Ainsi, à l’occasion de la conférence Def Con, dédiée à la cybersécurité, une équipe de 7 « hackers » de la société de sécurité informatique Synack a été conviée à Las Vegas par l’US Air Force et le Defense Digital Service [DDS] afin de trouver de potentielles failles pouvant affecter le système TADS [Technical Assistance Database System] du F-15.

« Le TADS recueille des images et d’autres informations à partir des capteurs de l’avion », a expliqué le Dr Will Roper, secrétaire adjoint à l’Air Force pour les acquisitions, la technologie et la logistique. « L’objectif était de trouver les faiblesses informatiques du système », a-t-il résumé.

Pour cette expérience, les hackers ont pu avoir un accès physique au système TADS. Une première. Et, selon le Washington Post, il a fallu 48 heures de travail pour mettre au jour un « gisement de vulnérabilités » critiques pour le bon fonctionnement du F-15.

Cela étant, on ignore si le TADS pourrait être piraté en vol. Reste que pour Will Roper, le risque est réel. « Il y a des millions de lignes de code dans tous nos appareils et si l’une d’entre-elles est défectueuse, alors un pays qui ne peut construire un avion de chasse pourrait nous en abattre un avec un clavier », a-t-il résumé.

 

Le F-15EX [ou « Advanced »], c’est à dire la dernière version de cette appareil développée par Boeing, disposera d’un ordinateur de mission de combat pouvant traiter 87 milliards d’instructions par seconde.

Quant aux vulnérabilités découvertes par l’équipe de Synack, le Dr Roper a estimé qu’elles sont la conséquence d’années de « négligences » en matière de cybersécurité. Et cela, essentiellement pour des questions de coûts.

Quoi qu’il en soit, le Pentagone avait jusqu’à présent lancé des initiatives de type « Bug Bounty » en faisant appel à des hackers pour trouver des failles dans ses applications et systèmes informatiques. Aussi, le fait de s’en inspirer pour des systèmes d’armes est inédit. Car il est question désormais de faire appel à des hackers triés sur le volet pour trouver les failles éventuelles pouvant affecter les drones, voire les satellites.

« Je souhaite également ouvrir le système de contrôle au sol d’un satellite militaire opérationnel à des pirates informatiques à des fins d’essais », a en effet affirmé le Dr Roper au Washington Post. « Nous voulons amener cette communauté à s’appuyer sur de véritables systèmes d’armes et de vrais avions » car « s’ils ont des vulnérabilités, il serait préférable de les trouver avant que nous entrions en conflit », a-t-il ajouté.

Photo : Boeing

Conformément à l'article 38 de la Loi 78-17 du 6 janvier 1978 modifiée, vous disposez d'un droit d'accès, de modification, de rectification et de suppression des données vous concernant. [Voir les règles de confidentialité]