Sur la sécurité des communications aériennes par liaison de données

Depuis les jours lointains où les contrôleurs aériens comme Archie League utilisaient des drapeaux pour diriger les appareils en vol, de nombreux progrès technologiques ont permis d'améliorer l'efficacité et la fiabilité des opérations de contrôle. Le transport aérien est dorénavant un mode de locomotion parmi les plus sécuritaires. Au sein des nouveaux systèmes de communication, on peut relever les liaisons de données, également appelées Datalink, qui permettent aux pilotes, aux contrôleurs ainsi qu'aux compagnies aériennes d'échanger directement des données via les ondes radio. Les nombreux avantages que présentent ces systèmes sur les communications vocales classiques ont rendu leur adoption extrêmement rapide et ils sont maintenant obligatoires sur la plupart des routes aériennes. Si l'automatisation toujours plus élevée des systèmes aéronautiques permet d'optimiser l'utilisation des espaces aérien, elle présente certains inconvénients. Les performances supplémentaires induites par ces nouveaux systèmes sont malheureusement parfois obtenues aux dépens d'une surface d'attaque accrue. Les composantes avioniques numériques des avions de ligne sont maintenant sensibles à de potentielles cyberattaques, car elles sont intégrées dans un écosystème informatisé complexe. Ce risque est renforcé par la démocratisation récente des radios logicielles (SDR) ainsi que des outils de développement associés. Ces radios logicielles permettent à un nombre accru de potentiels pirates d'intercepter et d'émettre des faux paquets de liaison de données tout en se faisant passer pour des acteurs légitimes. Ceci risque de causer de sérieuses dégradations potentielles des services aériens. Un nombre important de pirates pourrait maintenant se procurer à un prix très faible le matériel nécessaire pour communiquer et interagir avec les systèmes embarqués. Les protocoles les plus vulnérables aux attaques de spoofing sont les plus anciens comme ACARS et CPDLC. En effet, ils ont été développés entre les années 1980 et 1990, sans aucune considération sur la cybersécurité et ne permettent pas le recourt à des méthodes de protection cryptographiques. Ces protocoles sont néanmoins encore très extensivement utilisés et offrent des cibles de choix pour les potentiels pirates.

Abstract

The days when Archie League used flags to communicate with pilots are long gone. Modern communications protocol such as Datalink are now vital to air traffic control (ATC) operations. Thank to these new technologies which allow direct exchanges between embedded avionics components and control towers, air travel is now one of the safest modes of transportation. Various protocols known as Datalink communications are now widely used by pilots, companies and controlers to share data directly over radio waves. Because they offer numerous advantages over classical voice communications, their adoption was fast and they are now mandatory on most of the controlled airspaces. This extensive use of automated protocols has increased the attack surface of aviation towards deliberate cyberattacks that target the Datalink communication systems and the avionics. This potential threat is aggravated by the fast development and spreading of Software Defined Radios (SDR) and associated frameworks. Hackers are now able to listen and emit spoofed Datalink traffic that appear to come from ATC or from airborne aircraft, which may seriously interfere with aircraft and air traffic control operations. SDR technology is available at a very low cost and has a low barrier of entry in terms of technical knowledge. This would allow a vast number of motivated attackers to mount such attacks with relatively little risk of getting caught. The first Datalink protocols originally deployed between 1980 and 1990 such as the Aircraft Communication Addressing and Reporting System (ACARS) and Controller Pilot Datalink Communication (CPDLC) are particularly vulnerable to spoofing attacks. Indeed, cybersecurity was not considered when they were designed. They do not incorporate any cryptographic protection of their integrity, authentication or condifentiality. Yet, they are still mandatory on most routes and now offer a prime target for hackers.