Commentaires : Boeing utilise toujours des disquettes pour la mise à jour du logiciel de l'avionique

C’est une pratique insolite tant elle semble avoir des décennies de retard, mais qui existe bel et bien. Au cours d’une conférence virtuelle de la DEF CON, la société spécialisée dans la cybersécurité Pen Test Partners a diffusé une vidéo dans laquelle on aperçoit un lecteur de disquettes 3,5" à bord d’un Boeing 747.

C’est un point qui est aussi lié à l’âge de ces avions, ou de leur conception. Les années 80 pour le 747-400 et les années 90 pour le 737NG. Les clefs USB n’étant apparue si je ne me trompe qu’à la toute fin des années 90, début des années 2000. Ce n’était pas une technologie existante au moment de leur création.

Ca n’a vraiment rien de surprenant, bien souvent même une modification qui semble mineure comme remplacé un lecteur de disquette par autre chose, peut être très coûteux. Et ce n’est pas un cas isolé. Une simple recherche montre que l’A320 utilise lui aussi des disquettes par exemple

Et encore, ils ont vachement modernisé le procédé : il y a 4 ans ils utilisaient (encore) des cartes perforées!!!

(ok ok je bouge )

Je dois avoir un vieux stock de 3 pouces 1/4 dans un carton au fond du garage.

Si ça peut les dépanner je leur envoi.

Plus sérieusement l’argument que c’est plus difficile à pirater ça se tient.

Mais ils vont commencer à avoir des difficultés à trouver du personnel qui sait encore se servir de ce matos.

Et ils ont prévu une date pour arrêter la radiotélégraphie ?

Je ne vois en quoi une disquette serait plus difficile à pirater qu’un autre support type clé usb !

En ingénierie, pour faire des calculs scientifiques on utilise encore pas mal de Fortran. Donc cela ne m’étonne guère que Boeing utilise toujours des disquettes pour mettre à jour des avions conçus dans les années 80 !

Je dirais plutôt moins piratable que non piratable.

Pirater un support physique (disquette ou USB) sans intervention physique C’est moins facile que pirater à distance.

Ça suppose d’être sur place ou d’avoir des complices. Sinon c’est très aléatoire.
Glisser un malware dans une disquette pourquoi pas (a condition qu’il arrive à occuper tellement peu d’octets qu’il soit indétectable dans une base de données sur disquette) mais comment avoir la certitude que le malware ira dans la cible visée ?

Donc pour ma part je pense que pirater avec une disquette dans le scénario Boeing n’est pas si simple.

Quant au système propriétaire il a les défauts de ses avantages. Par exemple En matière de sécurité il faudrait des années pour le debuger, le sécuriser et être certain de sa fiabilité.
Et pas question de le faire développer par une société tierce spécialisée sinon risque élevé de fuites.

Après dans l’article il n’est question que de base de données d’aéroport.
Ça ne semble pas concerné les fonctions de vol. Donc tant qu’on aura des pilotes humains capables de vérifier de visu que la piste est à peu pré au bon endroit par rapport à la base de donnée de la disquette on peut souffler.
Le jour ou l’IA se fiera aux données de la disquette pour finir par atterrir dans un champ de maïs ça sera une autre histoire.

C’est plus facile de pirater un port USB qu’une disquette parce qu’il y a plus d’angles d’attaques.

USB c’est un port, avec accès direct à la machine hôte via des protocoles. Tu peux exploiter de potentielles failles en détournant les protocoles. De plus c’est un port qui, physiquement, fournis du courant et qui n’aime pas en recevoir. Ça se crame directe.

Une disquette est un support physique. Voilà, c’est tout.

C’est une aberration. ils peuvent tout à fait utiliser un système propriétaire bien plus moderne.

On ne sait pas s’il s’agit d’un lecteur 3.5" standard PC ou d’un modèle propriétaire. Par exemple les Amiga utilisaient des disquettes 3.5" mais avec une connexion particulière (signaux « disk change » et « ready ») nécessitant un peu de bricolage pour mettre un lecteur de disquettes de PC.

et encore vous n’avez pas vu les centrales nucleaires : toutes construites selon le meme modele (ordinateur Fugitsu vpp300 de 1992).

C’est un truc très mystérieux selon moi

Si tu savais comment ça se passe dans l’industrie, tu saurais que ça n’a rien de mystérieux, c’est même la norme.

Une technologie qualifiée pour un procédé coûte moins chère à garder en place, est est mieux maitrisée qu’une nouvelle technologie qui n’a pas été intégrée dans le système dès le départ.

Bref, ça marche, c’est sûr, c’est maitrisé, y’a pas de raison de changer.

Et ça marche très bien comme ça, c’est prévu comme ça, testé, retesté, éprouvé, stressé, et maintenant on a des décennies d’expérience avec.

Bref, comme n’importe-quelle industrie, la pérénité prime sur la geekitude.

Vous seriez étonnés de savoir avec quels procédés de haute technologie, pilotées par des technologies hautement obsolètes, on produit des pneus de Lamborghini Avantador ou de Buggati Chiron.

Cela fonctionne très bien et ne m’étonne pas. Dans le militaire, nous avons gardé le plus longtemps possible des PC avec Windows NT 4 car l’USB n’était pas implémenté, gage de sécurité.

Ce qui m’étonne plus c’est est-ce qu’ils ont une production en interne ? Comment remplace t-il une defectueuse ? ça fait longtemps que ce n’est plus produit non ?

Ça me choque pas, loin de là… La dernière sonde pour Mars envoyée par les USA le 30 Juillet dernier (Mars 2020) à un processeur datant de 2001 de 200 MHz, 256 ko de EEPROM, 256 Mo de RAM et 2 Go de mémoire flash.

En l’ingénierie on veut des systèmes fiables, qui ont été éprouvés. Pas les dernières technologies pour faire tourné des jeux ou applications codés avec les pieds et non optimisés.

C’est l’industrie, t’as des boites spécialisées dans la réparation du matériel, voir la production de « nouveau » matériel obsolète, ça a un coût, mais souvent bien moindre que le « retrofit » et la qualification technologique (et légale, faut pas oublier, 400 morts si crash à cause d’un bug…) qui doit être faite en conséquence.

Clair…

« Mon smartphone il pourrait piloter 200 apolos et 20 ISS pendant que je joue à candy crush sur écran 4k ».

Ouais, mais ton smartphone, il crash quand ça lui chante…

« Et ce constat se retrouve dans l’aéronautique. Le Boeing 737 Max par exemple, un appareil mis en service récemment (son vol inaugural a eu lieu en 2016), a rencontré des problèmes logiciels menant à deux accidents […] » oui mais en quoi la présence ou l’absence de disquettes ont à voir avec ces incidents et les problèmes qui en sont la source ?

Pas grand chose en effet, des sous-traitant sous-traités pour remplacer des ingénieurs maison virés pour une question de coûts, le prix de la qualité ne valant pas le prix des vies des passagers transportés semble-t-il, et qui produisent des softs buggés, ça se produit sur disquette ou sur USB pareil, on est d’accord.