Des travaux de recherches publiés récemment fournissent de véritables « manuels » aux pirates leur permettant de pénétrer les systèmes sans pilote et de le détourner à des fins malfaisantes, selon une société de défense israélienne, indique le site militaire spécialisé Defense One. C'est ce qu'a souligné fin avril Esti Pershin, directeur des cyber programmes d'Israel Aerospace Industries, une entreprise de défense importante de l'Etat d'Israël, lors de la Defensive Cyberspace Operations and Intelligence conference, une rencontre américano-israélienne qui s'est tenue à Washington DC...Analyse...
Parmi les études qu'elle a citées, une de 2011 réalisée par Nils Ole Tippenhauer de l'ETH Zurich et d'autres chercheurs notamment californiens, intitulée : « Les conditions requises pour usurper avec succès les GPS (Global Positioning System, utilisés par exemple dans nos automobiles pour se repérer et choisir son trajet) ». Les auteurs de l'étude indiquent les détails pour simuler les signaux GPS pour tromper les appareils de navigation des drones. Elle souligne qu'il est extrêmement facile de chercheur des données sur Google pour trouver toutes sortes d'informations sur ces techniques de piratage. Elle a indiqué d'autres recherches plus récentes, notamment une de l'OTAN de 2013 « Vulnérabilité des UAV aux cyber attaques – Une approche de l'évaluation du risque ».
Quelle est la réalité de la menace ?
Un article de la BBC du 6 février 2014 s'interrogeait déjà sur « Les drones sont-ils la prochaine cible des hackers (pirates) ? ».
Son auteur, Katia Moskvitch, rappelait le cas que l'on a déjà mentionné sur ce blog du drone furtif espion américain RQ-170 Sentinel qui aurait été attaqué par les Iraniens au sud de l'Afghanistan en 2011.
Ce drone, qui s'était écrasé en Iran, avait ensuite été présenté à la télévision par les autorités iraniennes qui avaient expliqué leur mode opératoire : « Elles avaient d'abord brouillé les liens de communication cryptés, déconnectant le drone de ses contrôleurs au sol et le passant en mode autopilote ; elles avaient aussi interrompu le flux de données sécurisées des satellites assurant le GPS. Le drone avait été ensuite obligé de chercher des fréquences GPS non cryptées (et donc non sécurisées), normalement utilisées par les avions civils.
A ce moment-là les Iraniens utilisèrent la technique appelée « spoofing » (que l'on peut traduire par « usurpation ») - envoyant à l'appareil des coordonnées GPS inexacts, lui faisant croire qu'il se trouvait près de sa base en Afghanistan, alors qu'il a atterrissait … en Iran... ! ».
Les Etats-Unis nièrent ce scénario, parlant de défaillance technique. Mais un chercheur américain, Todd Humphreys, professeur assistant d'ingénierie aéronautique à l'université du Texas a démontré par la suite devant des représentants du département américain de la sécurité intérieure (US Department of Homeland Security) médusés qu'il était possible avec des équipements coûtant moins de 2 000 dollars d'imiter les signaux cryptés de petits drones, réalisant l'expérience avec un drone de son université.
Il y aurait d'autres techniques accessibles pour les pirates comme l'interception des flux de données (data links) du drone.
Ainsi en 2008, des insurgés irakiens ont intercepté des données vidéo d'un drone espion militaire américain ; ce qui dans ce cas leur permet de savoir exactement comment ils sont repérés et leur permet de se cacher annulant tout le bénéfice du drone...
Toutefois, jusqu'à présent il n'y a pas encore eu de prise de contrôle d'un drone armé avec l'utilisation par les pirates des systèmes d'armements comme les missiles ou les bombes emportés.
Quelles parades ?
Les auteurs de l'étude de 2011 indiquent notamment qu'il est possible par exemple de se protéger du piratage en cachant la position exacte des récepteurs de GPS des appareils, les rendant moins sensible au brouillage.
D'autres techniques de parade sont en cours de développement.
Ainsi au Los Alamos National Laboratory Engineering Institute, aux Etats-Unis, les chercheurs testent des logiciels qui rendraient les drones « imprévisibles » - par exemple en leur faisant prendre des voies de navigation aléatoires tout en achevant leurs missions – afin de réduire les possibilités d'embuscade !
Par ailleurs, la DARPA, l'agence de recherche du ministère de la défense américain, a dévoilé en mai 2014 un drone avec un logiciel hautement sécurisé appelé HACMS (High Assurance Cyber Military Systems) qui permettrait de lutter contre les cyber-attaques et donc d'éviter d'être « pris en mains » par des pirates.
Est-ce la panacée ? Pas certain. Comme le rappelle un expert du sujet, Peter Singer, directeur du Center for 21st Century Security and Intelligence à la Brooking Institution, un think-tank sis à Washington DC, « L'essentiel est qu'un drone est un ordinateur volant. Et [tous] les ordinateurs peuvent être piratés... ».
Edouard Pflimlin
Source Le Monde