L’année 2019 n’aura pas été celle de Boeing. Après le scandale des 737 MAX dont les défaillances ont causé le crash de deux avions, conduisant la plupart des pays à clouer au sol les flottes de 737 MAX en attendant qu’une solution soit apportée, l’entreprise d’ aéronautique doit également faire face à d’importantes critiques concernant la sécurité de ses systèmes d’information.

C’est dans les pages du magazine CSO Online que le constructeur a fait face aux accusations. Le journaliste J.M. Porup y rapporte les propos de la spécialiste en sécurité informatique Chris Kubecka à l’occasion de la conférence Aviation Cyber Security, compte rendu également rapporté par nos collègues de Numerama. Lors de son intervention, la chercheuse ne mâche pas ses mots et affirme que le constructeur aéronautique n’a pas fait preuve du minimum de diligence raisonnable concernant la sécurisation de ses réseaux.

Une sécurité particulièrement insuffisante

Le problème de sécurité au sein de l’entreprise d’aéronautique serait particulièrement probant. La chercheuse affirme avoir décelé des défaillances de sécurité flagrantes et pourtant faciles à corriger, notamment l’absence d’une connexion sécurisée HTTPS lorsqu’on se rend sur le site de Boeing ou encore l’absence de la spécification technique DMARC, qui permet de limiter les abus par mail (spam et phishing).

Le portail Web Aviation ID utilisé par Boeing est également pointé du doigt par Chris Kubecka. Il présenterait notamment une vulnérabilité de type XSS (cross-site scripting) qui – si elle est exploitée – permet d’injecter du code malveillant, ainsi que des soucis au niveau des normes d’authentifications et d’accréditation.

« L’infrastructure Internet de Boeing, ses applications Web et ses systèmes de courrier électronique en général ne semblent pas avoir fait l’objet de tests de sécurité de base ou généralement acceptés », a indiqué Chris Kubecka. La chercheuse affirme avoir décelé ces problèmes depuis 6 mois et les avoir communiqués à Boeing afin qu’il procède à des ajustements, sans succès.

Tentative de mutisme

Selon la chercheuse, Boeing aurait tenté de dissimuler ses manquements en faisant pression sur elle. L’industriel l’aurait menacée d’action en justice et de mener une campagne de dénigrement public si elle poursuivait son enquête.

De son côté, Boeing se défend des accusations de la chercheuse quant à d’éventuelles pressions de sa part. Le constructeur d’aéronautique affirme avoir pris contact avec Chris Kubecka afin de lui présenter les différentes procédures de « divulgation responsable » ; à savoir « un cadre dédié à la transmission d’informations sensibles, qui peut inclure un délai d’attente avant de les rendre publiques ». Or, certaines de ces procédures de divulgation responsable sont soumises à des accords de non-divulgation.

Accès en ligne

Mais les trouvailles de la chercheuse ne s’arrêtent pas là. Elle indique également avoir constaté que les réseaux de développement en test de Boeing étaient accessibles par Internet. Une accessibilité qui pourrait permettre à des adversaires disposant des moyens techniques adéquates d’avoir accès aux codes sources des logiciels de l’entreprise, de même qu’aux systèmes de compilation.

Cerise sur le gâteau : l’un des serveurs de messageries du géant aérien serait infecté par de multiples logiciels malveillants. Une présence qui permettrait d’exfiltrer les plans et logiciels de Boeing, mais également les codes utilisés dans les avions civils et appareils vendus aux militaires américains.

Selon la chercheuse, il y a un réel risque que les avions de l’Air Force soient corrompus via leur logiciel de contrôle de vol et donnent ainsi l’avantage à l’ennemi.

Face aux accusations, Boeing n’a pas eu le choix de réagir et a en partie accepté les critiques de la chercheuse dans un communiqué adressé au magazine CSO Online. « Nous apprécions sincèrement le temps et les efforts de Mme Kubecka, et nous prenons au sérieux les préoccupations qu’elle a soulevées, car nous travaillons continuellement à améliorer la cybersécurité de nos systèmes et produits informatiques. Les problèmes de sécurité abordés […] sont, sans exception, des vulnérabilités communes – le type de soucis de cyberhygiène auquel des milliers d’entreprises sont confrontées chaque jour ».