Un avion d’Air Canada et des appareils Bombardier ont vu leurs systèmes GPS piratés en vol

Un avion d’Air Canada ainsi que des appareils fabriqués par Bombardier ont récemment vu leur système de positionnement GPS piraté par des cyberattaques alors qu’ils se trouvaient en plein vol.

Ces incidents survenus au-dessus du Moyen-Orient et du sud de l’Asie mettent en péril la sécurité aérienne, s’inquiètent des experts et quatre pilotes qui se sont confiés à notre Bureau d’enquête dans les dernières semaines.

Le 9 mai 2023, un Boeing 787 d’Air Canada a vu son système de navigation être bloqué au cours d’un vol entre Séoul, en Corée du Sud, et Toronto, nous a confirmé Transports Canada.

Les pilotes ont alors dû s’orienter avec l’assistance de contrôleurs aériens, puisque leur système GPS ne recevait plus de signal.

Puis, l’automne dernier, au moins trois avions d’affaires de Bombardier qui survolaient le Moyen-Orient ont été victimes d’incidents encore plus sérieux.

• Écoutez le segment judiciaire avec Félix Séguin via QUB :

Leur système GPS recevait carrément des signaux trompeurs pour faire croire à l’équipage que leur avion était ailleurs qu’à l’endroit où il se trouvait réellement (voir encadré).

Dans un cas, les pilotes n’avaient plus aucune idée où se trouvait l’appareil.

En zone interdite

Ces cas, ainsi qu’une cinquantaine d’autres survenus depuis la fin août 2023, ont été compilés par l’OPS Group, une organisation qui regroupe 8000 pilotes, contrôleurs aériens et autres spécialistes de l’aviation, et reconnue comme une référence en matière d’information sur la sécurité aérienne.

L’envoi de signaux trompeurs soulève de grandes craintes: «Le récepteur GPS ne déclenche pas d’alerte, et ça, c’est dangereux», affirme un pilote d’Air Canada, qui s’exprime sous le couvert de l’anonymat car il n’est pas autorisé à parler aux médias.

Ainsi, au moins un avion a accédé à une zone interdite au-dessus du Liban et un autre a failli pénétrer sans autorisation dans l’espace aérien iranien, peut-on aussi apprendre de l’OPS Group.

Selon une autre source chez Air Canada, la plupart de ces cyberattaques proviennent de gouvernements qui ciblent les avions et les drones dans certaines zones à risque de conflits armés.

«Ces opérations étatiques militaires sont à la limite du terrorisme», indique cette source.

Alerte de l’OACI

En octobre 2022, l’Organisation de l’aviation civile internationale (OACI) – dont le siège social est situé à Montréal – a alerté ses 193 pays membres, de crainte qu’un incident fatal se produise.

«L’envoi intentionnel de signaux trompeurs pour remplacer le signal exact est une menace [...] grave pour la sécurité des vols», peut-on lire dans une résolution de l’organisation.

L’OACI «prie instamment les États membres de s’abstenir de toute forme de brouillage intentionnel ou de leurrage touchant l’aviation civile», indique cette même résolution.

Appelé à commenter, l’officier aux communications de l’OACI William Raillant-Clark admet que les «États membres sont préoccupés par la résilience des systèmes», soit la faible capacité des systèmes à s’adapter à ce type de piratage.

Vols suspendus

Bombardier dit être bien au fait des incidents qui ont touché ses avions plus tôt cet automne. «Nous continuons à traiter ces incidents d’une façon prioritaire», affirme la porte-parole Arevig Afarian.

L’avionneur québécois précise qu’il ne conçoit pas les systèmes de navigation de ses appareils. «Nous envoyons tout de même des mises à jour et directives techniques à nos clients sur tout enjeu de sécurité», indique Mme Afarian.

De son côté, Air Canada confirme être au fait de ce type d’incidents et avoir suspendu tous ses vols vers Tel-Aviv depuis l’aggravation du conflit entre Israël et le Hamas.

La situation est «bien documenté[e] par Boeing, constructeur des aéronefs que nous exploitons [...] avec des procédures robustes», indique le vice-président aux communications Christophe Hennebelle.

«Les défaillances deviennent dangereuses», dit un pilote

Des pilotes d’Air Canada craignent qu’un incident majeur se produise à cause de l’émergence des cyberattaques aériennes. 

• «Nous faisons aveuglément confiance à nos systèmes de navigation et les défaillances deviennent dangereuses», affirme l’un d’eux, qui s’est confié à nous en échange d’une promesse de garder son identité anonyme.

Chez Air Canada, la direction n’aurait pas sensibilisé les pilotes sur l’existence de ces attaques sophistiquées, selon les quatre pilotes du transporteur aérien avec qui nous avons pu nous entretenir.

«C’est épeurant. On ne savait pas que l’ensemble de nos systèmes de navigation pouvait être mis hors d’usage», alerte un des employés.

Crainte d’une catastrophe

«Nos formations et qualifications sur simulateur de vol ne prévoient même pas de scénarios sur l’usurpation d’identité du GPS», ajoute un autre pilote.

Dans un contexte où le climat géopolitique est explosif dans plusieurs parties du monde, «nous ne sommes jamais à l’abri d’un incident majeur», poursuit-il.

À cet égard, selon l’OPS Group, des pilotes en vol auraient récemment reçu des messages radio inquiétants quant au fait que l’État iranien n’hésiterait pas à abattre tout avion qui survole des zones interdites.

Un tel scénario n’est pas sans rappeler le cas de l’avion d’Ukraine International Airlines en janvier 2020, qui avait été abattu par l’armée iranienne dans des circonstances nébuleuses quelques minutes après son décollage de Téhéran.

La catastrophe avait entraîné la mort de 176 de passagers, majoritairement des Canadiens et des Iraniens.

L’industrie doit s'ajuster

Le Journal a demandé l’avis de deux experts en aviation sur la nouvelle menace en matière de cyberattaques.

Est-ce vraiment possible de pirater un avion à distance? 

Pirater un avion à distance n’est pas aussi facile que de déjouer un système standard de voiture ou de cellulaire, mais c’est loin d’être impossible, explique en entrevue Jose M. Fernandez, un ancien enseignant à la Polytechnique Montréal, expert en cybersécurité et pilote de ligne.

«Aucun système ne peut nous protéger contre toutes les cyberattaques», observe-t-il.

 

La capacité de bloquer le système de localisation GPS et l’envoi de faux signaux étaient autrefois réservés à l’arsenal militaire. Mais cette capacité n’est plus exclusive à l’armée, fait-il remarquer.

A-t-on prévu des moyens pour prévenir de telles perturbations?  

M. Fernandez se montre peu rassurant, car à ce jour, rien n’a encore été conçu dans l’industrie de l’aviation pour se protéger contre toute forme de cyberattaque.

Les systèmes de navigation ont plutôt été développés pour corriger des erreurs et des imprécisions, des défaillances d’équipements et des erreurs humaines.

L’industrie de l’aéronautique «a mis presque tous ses efforts dans la prévention du terrorisme et la prise d’otage à bord d’aéronefs», observe-t-il.

Quelles solutions sont envisageables à court et à moyen terme?

M. Fernandez indique qu’il faut commencer par informer les pilotes de la situation. Il faut ensuite changer les procédures d’urgence et entraîner l’équipage à bien réagir.

À moyen terme, il considère qu’il faudra adapter les systèmes aux nouvelles menaces. Cela pourrait coûter «des centaines de milliers de dollars pour chaque avion de ligne», selon lui.

Selon le directeur adjoint de l’Institut de droit aérien et spatial de l’Université McGill Vincent Correia, cela ne se fera pas du jour au lendemain, car l’industrie prend parfois 10 à 15 ans avant de réagir.

«Il faut que l’implantation de nouvelles technologies soit obligatoire et uniforme à travers le monde», dit M. Correia.

Cinq cas récents

Bombardier Global 6000 Express – le 16 octobre 2023

Un contrôleur aérien a avisé l’équipage que l’avion s’approchait d’une zone interdite après avoir décollé de Tel-Aviv en Israël. Le système GPS, qui avait été victime de piratage, indiquait une position erronée de l’aéronef.

Bombardier Challenger 604 – automne 2023

En approchant le nord de Bagdad en Irak, le système GPS a subi une usurpation d’identité. Les pilotes ont dû recourir à l’assistance de contrôleurs aériens, car ils n’avaient aucune idée où ils se trouvaient.

Bombardier Global 7500 – le 16 octobre 2023

Le système de navigation a été la cible de trois usurpations d’identité au cours d’un même vol entre Tel-Aviv en Israël et Le Caire en Égypte. L’appareil a perdu l’usage de tous ses équipements de navigation et l’a récupéré après s’être éloigné d’Israël.

Embraer Legacy 650 – automne 2023

L’aéronef a perdu l’usage de tous ses systèmes de navigation en entrant dans l’espace aérien de Bagdad, en Irak. Les pilotes ne s’en sont rendu compte qu’au moment où le pilote automatique a changé la direction de l’avion à deux occasions.

Boeing 777 – le 16 octobre 2023

L’avion de ligne a été la cible d’une attaque sur son système de navigation. Pendant 30 minutes, le GPS indiquait que l’avion se trouvait au-dessus d’Israël alors qu’il survolait plutôt l’Égypte.

Source: OPS Group. Cas divulgués en septembre et octobre 2023.

-Avec la collaboration de Chrystian Viens.