Comments on Mes 0.02¤ sur la sécurité des avions vis-à-vis des attaques informatiques

GuLi (2015-06-04T11:45:26Z)

Un bout de 'trivia'/jargon : les questions liées à des actes malveillants ressortent de la _sûreté_ du trafic aérien ; on ne parle de _sécurité_ que dans le contexte d'erreurs, d'accidents. Ces termes se traduisent dans l'anglais du domaine par "security" et "safety" (respectivement. Si.)

SB (2015-05-28T11:45:03Z)

« L'avion est, par ailleurs, un milieu où on continue à mesurer la hauteur des avions en multiples de la longueur du pied de je ne sais quel roi anglo-saxon : c'est-à-dire, un monde complètement enfermé dans ses habitudes absurdes et incapable d'évoluer. »

Je marche sans doute dedans, mais j'ai quand même envie de rappeler que dans les pays anglophones et même parfois dans le reste du monde, il n'y a pas que l'aéronautique qui se passe du système métrique (en France, par exemple, la taille des moniteurs ou des balles-éponges).

« Je pourrais aussi raconter que les systèmes de réservation des places des compagnies aériennes sont, encore de nos jours, écrits en assembleur IBM/360 et échangent des données en EBCDIC »

Dans les grosses entreprises du genre banque et assurances, on utilise aussi des mainframes programmés en Cobol (connectés à des interfaces sous Microsoft Windows): est-ce la preuve d'une « incapacité d'évoluer » ou bien d'un choix rationnel ?

wanabe modo (2015-05-27T14:25:39Z)

C'est assez navrant de voir quelqu'un argumenter en répétant sans cesse des points un peu à côté du problème (oui il faut publier les specs, c'est évident, ça a déjà été précisé), et en reposant les questions auxquelles on a déjà répondu ("pourquoi se faire chier")…
C'est comme quand j'explique à un enfant pourquoi il faut faire quelque chose et qu'à la fin il me redemande "oui, … mais pourquoi ?" On n'en finit plus, ça tourne en boucle.

Tonio (2015-05-24T19:17:25Z)

Dans les systèmes avioniques, la probabilité qu'un événement logiciel critique pour le vol survienne doit être 1/10e-9 pour 1h de vol (je crois, voir la norme DO178B). Cette proba doit être prouvé aux autorités de certif et est vérifiée à différents niveaux.

La ségrégation entre les systèmes de différents niveaux de criticité (ex: IFE et bus avion) est intégré dès la conception, comme les redondances, double/triples checks de données en temps réels.

Comme on ne peut jamais être sur d'avoir 0 bugs: si un bug arrive à provoquer tout de même un problème plus ou moins grave. Il est analysé avec obligation de comprendre tout les tenants et aboutissants pour modifier l'architecture et/ou le process. C'est un principe de base dans l'avionique (pas que logiciel).

Dans le logiciel avionique, le temps de codage est vraiment negligeable par rapport à la conception et surtout le test.

Souvent, le retard technologique est du à l'utilisation de composants éprouvés. J'ai du mal à evaluer si le fait de publier le code source serait vraiment intéressant. Peut être…

Et pour info, les bus ethernet parfois utilisés dans certains systèmes avion sont une version modifié de l'ethernet, l'AFDX. Les IFE doivent probablement utiliser de l'ethernet standard.

Geo (2015-05-24T15:56:49Z)

Ça me rappelle une amie "quant" dans une banque américaine qui disait que jamais on ne confierait de l'argent à sa banque si on voyait à quoi ressemble le code qu'ils écrivent.

xavier (2015-05-23T23:02:35Z)

@Ruxor :
1) Bof. Quel intérêt? On y gagne quoi concrètement? Rien selon moi.
2) Oui mais là on parlait de fabriquant d'avions. "L'industrie" est un concept qui n'a pas beaucoup de sens. C'est comme "ingénieur". Ca recouvre des tonnes de réalités bien différentes.
3) La question est de savoir *pourquoi* Airbus devrait tout publier (car c'est de cela dont on parle). Quand un avion se plante, ça nuit fortement à l'image du groupe donc oui, on fait tout pour que ça n'arrive pas dans le cadre légal imposé. On n'a d'autres chats à fouetter que d'aller publier tous les détails (ou même d'aller regarder si on a le droit de le faire…ce qui est loin d'être évident) car je ne vois pas en quoi ce serait bon pour le groupe et pour la sécurité aérienne. Quand il y a un problème, les autorités compétentes ont accès à tout évidement.

"Mais surtout, on connaît peu d'exemples de boîtes qui se soient effondrées parce que leurs secrets prétendument si précieux auraient fuité."
Peut être mais pourquoi se faire ch*** à faire un truc juridiquement compliqué, qui ne va servir à rien et qui *risque* de rendre la concurrence encore plus féroce??
Je le reredis, le problème n'est pas de publier le code. Le code tout seul ne sert à rien et ne vaut rien. Si tu publies le code, il va te falloir publier la spec de tous les actuateurs/senseurs. Je le rereredis, le code dans le vol 501 d'ariane était *correct*. C'est la spec qui était fausse. Si tu l'analyses avec les contraintes de la spec qui te dis que l'entrée ne peut pas être plus grande que X alors ton logiciel de vérif ne trouvera rien à redire…le problème était que X est beaucoup plus grand sur ariane 5 que sur ariane 4.

"C'est simplement parce que je n'aime pas être traité comme du bétail, et ça c'est un problème bien différent."
Ha ça c'est le problème des low cost et pas des constructeurs ;)
Si tu prends le bus, je ne vois pas le pb avec les compagnies régulières.

Ruxor (2015-05-23T17:56:21Z)

@xavier: Les gens qui ont des secrets essaient toujours de vous faire croire que ces secrets ont une énorme valeur, que leur activité serait impossible sans ces secrets, voire (s'il s'agit d'agences de renseignement, par exemple) que le monde s'écroulerait si ces secrets étaient révélés. Évidemment, comme par définition on ne connaît pas ces secrets, on peut difficilement prouver que c'est faux : on peut juste remarquer que (1) c'est évidemment leur intérêt de prétendre ça, (2) quantité d'industries fonctionnent sans avoir de secrets particuliers (en tout cas, pas dans le produit fini : il peut y avoir des secrets ou un savoir-faire dans la chaîne de fabrication, mais c'est différent, parce que ça ne concerne pas celui qui reçoit le produit fini), et ça ne les empêche pas de tourner et de tirer des profits commerciaux, et même (3) un certain nombre de domaines d'activités sont passés d'un monde totalement fermé à un monde ouvert, sans qu'il résulte de catastrophe particulière (dans le monde du logiciel, des boîtes vendant du logiciel libre arrivent à faire concurrence à des boîtes vendant du logiciel propriétaire alors que tout le monde disait que c'était impossible par principe). Mais surtout, on connaît peu d'exemples de boîtes qui se soient effondrées parce que leurs secrets prétendument si précieux auraient fuité. Dans le cas particulier de l'aviation, écrire du code pour faire tourner un avion n'est d'ailleurs pas spécialement compliqué ou mystérieux, c'est surtout fastidieux à cause du nombre faramineux de contraintes : on voit difficilement ce que Boeing gagnerait à lire le code d'Airbus, vu que ce code ne sera pas directement réutilisable et que les techniques générales sont connues de tout le monde depuis longtemps (je ne propose pas de permettre à Boeing de réutiliser le code, mais même s'ils le pouvaient, ils n'y gagneraient rien).

Mais je te rassure, ce n'est pas parce que je crains pour ma sécurité que je ne prends pas l'avion (c'est éventuellement la raison pour laquelle je ne prends pas la voiture). C'est simplement parce que je n'aime pas être traité comme du bétail, et ça c'est un problème bien différent.

xavier (2015-05-23T14:18:57Z)

Ruxor: Ce qui fait gagner de l'argent à Airbus c'est la *marge* faite sur la vente de chaque avion. Ce serait une politique suicidaire vis à vis de cette marge et de la survie de l'entreprise à moyen terme que de publier tous les éléments nécessaires à la vérification du soft de vol.

Je ne vois pas où et le problème et ce que cette publication apporterait à la sécurité des vols. Je suppose que tu sais qu'il a déjà fallu se battre avec les autorités pour faire reconnaitre (et on y en pas encore vraiment…) l'analyse statique (ou tout autre technique autre que le test) comme étant un outil acceptable pour valider un soft (en fait, non, ça ne valide rien..ça le vérifie…la validation c'est justement l'étape qui consiste à se demander si la spec est ok). L'industrie fonctionne comme ça et le taux d'accidents est superbement bas. Je ne pense pas que changer les règles en réaction rapide à UN accident dont on ne connait pas la cause aide.

Ruxor (2015-05-23T13:36:33Z)

« Les "petits secrets" comme tu dis, c'est ce qui permet à Airbus de gagner de l'argent et donc d'exister en tant qu'entreprise privée. »

C'est marrant, moi j'étais persuadé que ce qui permettait à Airbus de gagner de l'argent, c'était de vendre des avions. Je n'avais pas idée qu'ils étaient, en fait, une branche des services secrets européens. Merci de m'avoir remis sur la voie.

xavier (2015-05-22T19:43:50Z)

Ruxor : La cryto et le fait que faire reposer le secret sur l'algo est toujours une mauvaise idée est une chose. Ce que fait "l'industrie" en est une autre et le fait que les écossais portent des kilts encore une autre.
Les "petits secrets" comme tu dis, c'est ce qui permet à Airbus de gagner de l'argent et donc d'exister en tant qu'entreprise privée.
Tu crois que dans le privé les gens passent leur temps à protéger leur cul? C'est ton droit.
Le transport aérien est très très conservateur car il a atteint un niveau de sécurité impressionnant en instaurant un système complexe de règles. Les idées concrètes pour réduire encore le taux d'accidents sont les bienvenues mais elles ne voleront pas en séries avant d'avoir passé tous les filtres formels. Ces filtres ont montré leur efficacité. C'est un fait. Ca n'a rien de "sociologique".

f3et (2015-05-22T12:45:59Z)

#Contraintes et rentabilité
Le poids des circuits électriques ?? J'ai vraiment du mal à y croire… Et après, on vient m'expliquer que nous autres théoriciens, on n'est pas capable de tenir compte des réalités matérielles… Allez, à la louche (et je parle même pas du fait qu'on est en Wi-Fi, dans ce contexte), ils pèsent combien, les cables, par rapport, mettons, aux bagages en excédent de poids?…

Contrainte et rentabilité (2015-05-22T08:09:30Z)

Dans l'industrie il y a toujours des contraintes contradictoires ; un appareil grand public multi-usages n'est pas un outil de laboratoire !

C'est particulièrement vrai pour l'aéronautique où la légèreté compte beaucoup donc doubler ou tripler les circuits électriques n'est pas sans incidence sur le poids de l'aéroplane en vol (même si l'on ne souhaite pas qu'il s'écrase trop souvent au sol malencontreusement).

Ruxor (2015-05-22T05:54:55Z)

@xavier: Je ne pense certainement pas que l'industrie c'est MAL ! Je pense que l'industrie adopte des mauvaises pratiques, en manquant complètement de transparence, c'est-à-dire, en ne comprenant pas bien ce qui doit rester secret et ce qui ne doit pas l'être. (C'est justement un peu la spécialité de la crypto, le secret…) Il y a plein d'exemples de choses dont la sécurité a été cassée parce que les gens qui les ont conçues se sont dit qu'ils allaient garder tel ou tel élément secret.

Et je comprends aussi le mécanisme sociologique qui fait que l'industrie fait cette erreur : c'est tellement plus facile de garder son boulot en faisant la même erreur que tout le monde qu'en disant « on va faire autrement, on être transparents », après quoi n'importe quel problème te retombe sur la figure. C'est le problème du « cover your ass » : mieux vaut ne pas s'écarter des mauvaises pratiques établies… et c'est comme ça qu'elles se perpétuent.

Mais bon, c'est tellement plus simple de caricaturer ma position, n'est-ce pas ? C'est plutôt ça qui est navrant.

xavier (2015-05-21T19:26:50Z)

Gabriel : bah tu sais la sécurité ce n'est pas aussi simple. Tu rajoutes un truc pour réduire le risque de je ne sais quoi? ok mais rien que le fait de rajouter ce truc augmenter le risque ailleurs.

Ruxor : Je ne te savais pas être l'archétype du chercheur qui pense que l'industrie c'est MAL. C'est toujours divertissant de lire ce genre de choses mais c'est tout de même un peu navrant.

Gabriel (2015-05-21T12:26:37Z)

Xavier: je faisais le parallèle car, même si le problème (électrique d'un côté, informatique de l'autre) est différent, on retrouve en commun l'absence d'isolation entre les éléments essentiels et non-essentiels au fonctionnement de l'appareil. Dans le cas du vol Swissair, les pilotes n'avaient aucun moyen de couper l'alimentation du système de divertissement sans couper aussi l'alimentation de systèmes vitaux pour maintenir l'avion en vol. (Le crash en lui-même n'aurait sans doute pas été évité même avec un tel système, comme souligné dans le rapport, mais ça fait quand même un peu peur je trouve.)

jsc (2015-05-19T08:37:48Z)

@Ruxox: Airbus parvient à faire voler des avions à 800 km/h, à 10km d'altitude, sur des milliers de km, avec un taux accident inférieur à 10^-6/h. Cela commande un peu le respect, non ?

ooten (2015-05-19T08:14:58Z)

La publication du code des logiciels et de leurs informations coûte de l'argent ou du temps, ça peut être un argument contre cette pratique.

Ruxor (2015-05-19T03:23:43Z)

@xavier: Je parle bien sûr de publier la totalité des informations qui ont été utilisées dans le cadre de la validation du logiciel de commande par le projet Astrée. Et oui, bien sûr, c'est malheureusement irréaliste de supposer que les gens de chez Airbus accepteraient de révéler leurs petits secrets pour améliorer la sécurité des passagers : comme tant d'autres industries, le monde aérien est campé sur ses pratiques moyenâgeuses qui nuisent finalement à tout le monde, et il est impensable de le faire changer. C'est vraiment triste ce que ça révèle sur notre bêtise collective, mais il y a une certaine satisfaction à la dénoncer.

xavier (2015-05-18T20:54:08Z)

Gabriel : Ca n'a rien à voir. Un court circuit est un court circuit et rien d'autre.

A.G.a en gros tout dit. Je rajoute juste que publier le soft ce serait bien gentil (c'est risible dans la vraie vie ;) ) mais ça ne servirait pas à grand chose si on ne publie également la spec de tous les capteurs/actuateurs voire même les calculs des boucles de contrôle.
Le soft d'arianeV 501 était conforme à la spec. Sur ariane4 il n'y avait aucun problème avec ce soft. La seule façon de prouver que ce soft était faux était d'avoir une specification correcte dans le cadre d'ariane V. C'était donc un problème de config control et non un problème de bug.
Tout ça pour dire qu'on ne va pas sûrement pas publier tout ça…mais rien que l'idée qu'on publie le soft est risible :)

fmaz (2015-05-18T08:34:40Z)

J'ai déjà discuté avec un pilote long courrier (je crois qu'il volait sur airbus). Il m'a dit qu'ils ne touchaient JAMAIS à l'armoire des fusibles parce qu'un fusible pouvait contrôler à la fois des éléments des réseaux A, B et C.

Antoine (2015-05-18T07:05:49Z)

En ce qui concerne la sécurité des réseaux informatiques, au CEA, les réseaux (dont seul le plus ouvert est relié à internet) sont séparés physiquement, en fonction de la classification de la zone où se situe l'ordinateur. Les transferts se font sur clé USB (avec, à chaque fois, paperasse). On m'a dit que c'était pareil dans les boites un peu sensibles (défense, aéronautique…)

A.G. (2015-05-18T06:34:56Z)

Je suis assez étonné que tu considères Airbus comme des traîne-savates englués dans leurs pratiques obsolètes, alors que de mon coté j'ai plutôt l'impression qu'ils sont loin devant tous les autres industriels français en terme d'importance accordée au logiciel, comme en témoigne leur usage et intérêt pour Astrée ou plus récemment CompCert. En particulier, j'ai reçu un écho uniformément négatif des constructeurs et équipementiers automobiles, où le logiciel est un bidule méprisé qu'on sous-traite au petit bonheur la chance.

En ce qui concerne le fait que le logiciel de vol ne soit pas public bien qu'Airbus vende "des avions, pas du logiciel", je pense que tu sous-estimes l'importance de l'informatique dans le fonctionnement d'un avion moderne. IIRC Airbus a traditionnellement été en avance là-dessus, et je soupçonne que leurs logiciels et les lois de commande que ceux-ci implémentent forment une partie essentielle de leur propriété intellectuelle. (L'existence éventuelle d'espions industriels me semble renforcer ce point : on ne vole que ce qui a de la valeur.)

Enfin, je suis assez sceptique vis-à-vis de l'usage de la transparence dans le cadre de grands systèmes industriels, critiques qui plus est, pour améliorer leur sécurité. Ça fonctionne probablement bien pour étudier des objets petits, raffinés et autonomes (e.g., algorithmes cryptographiques) mais est-ce pertinent lorsque l'objet devient gros, spécialisé, lié à du matériel par nature propriétaire et à des conditions de fonctionnement ultra-spécifiques ?

Damien (2015-05-18T06:31:27Z)

"bluetooth airbus cartoon" donne plusieurs résultats dans Google Images.

Gabriel (2015-05-18T04:41:46Z)

Un exemple de crash (vol Swissair Flight 111) où le in flight entertainment network (ifen), rajouté après la conception initiale toutefois, n'avait même pas été isolé correctement d'un point de vue électrique me rend pessimiste : <URL:http://www.tsb.gc.ca/eng/rapports-reports/aviation/1998/a98h0003/01report/02analysis/rep2_14_01.asp >


You can post a comment using the following fields:
Name or nick (mandatory):
Web site URL (optional):
Email address (optional, will not appear):
Identifier phrase (optional, see below):
Attempt to remember the values above?
The comment itself (mandatory):

Optional message for moderator (hidden to others):

Spam protection: please enter below the following signs in reverse order: 2ce646


Recent comments