Le «Cyber-Defence Campus» du Département fédéral de la défense Suisse (DDPS) a découvert en 2023 deux failles de sécurité dans le système de prévention des collisions de l'aviation civile. Les autorités américaines ont récemment publié les découvertes.
Déclenchement de fausses alertes
Le système de prévention des collisions «Traffic Alert and Collision Avoidance System (TCAS) II» est obligatoire dans l'aviation civile pour les avions transportant plus de 19 passagers. Il sert de mesure de dernier recours pour éviter les collisions lorsque toutes les autres procédures visant à maintenir la distance entre les objets volants ont échoué.
A l'automne 2023, une équipe du Cyber-Defence Campus est parvenue à déclencher de fausses alertes dans un poste de pilotage avec un processeur certifié TCAS et sa propre installation radio. Le fabricant ainsi que les autorités de l'aviation européennes et américaines ont été informés de ces découvertes, écrit l'Office fédéral de l'armement (armasuisse) dans un communiqué publié lundi.
Aucune contre-mesure disponible
Les failles de sécurité détectées ont été publiées en janvier par l'Agence de cybersécurité américaine et la Federal Aviation Authority (FAA) des Etats-Unis, qui les ont classées respectivement comme moyenne et élevée. Une évaluation déterminante pour d'autres régions, dont l'Europe, selon armasuisse.
L'évaluation de la FAA montre qu'aucune contre-mesure technique n'est disponible actuellement. On recommande aux organisations concernées de prendre les mesures compensatoires requises pour détecter de telles attaques en temps utile afin de pouvoir réagir de manière appropriée, précise armasuisse.
Les chercheurs du Cyber-Defence Campus avaient déjà fait la démonstration de leurs découvertes lors de conférences américaines à l'été 2024. Cette unité, créée en 2019, fait le lien entre le DDPS, l'industrie et le monde scientifique en matière de recherche, d'innovation et de formation à la cyberdéfense.
