Les hélicoptères à commandes de vol numériques deviennent des cibles logicielles et matérielles. Helionix, ARINC 429, MIL-STD-1553 : décryptage des risques et des parades.

Les hélicoptères modernes ont basculé vers des systèmes Fly-by-Wire et parfois Fly-by-Light, où les signaux électriques ou optiques remplacent les tringleries mécaniques. Cette révolution améliore la sécurité et la charge de travail du pilote, mais ouvre aussi une surface d’attaque cyber-physique inédite. L’exemple de la suite avionique Airbus Helionix illustre cette évolution : plus de 500 H135, H145, H160 et H175 en sont équipés, avec plus de 500 000 heures de vol enregistrées, ce qui en fait une cible de choix pour les chercheurs comme pour les attaquants potentiels. Les bus de données ARINC 429 et MIL-STD-1553, l’utilisation d’un RTOS temps réel comme VxWorks 653, les calculateurs, les capteurs et les actuateurs électro-hydrauliques composent une chaîne complexe où une intrusion logique peut se traduire par un effet physique sur la trajectoire, l’assiette ou la puissance. Comprendre les tests d’intrusion avioniques et la modélisation des menaces devient donc central pour renforcer la sécurité cyber-physique de ces architectures critiques.

Le basculement vers les commandes de vol numériques sur hélicoptères

Les hélicoptères civils et parapublics récents ont progressivement adopté des commandes de vol électriques, assistées par ordinateurs, inspirées de l’aviation de ligne. La suite Helionix, introduite par Airbus Helicopters sur H145, H175 puis H160, s’inscrit dans cette tendance : architecture intégrée, pilote automatique quatre axes, gestion de mission, et aides au vol avancées.

Concrètement, les ordres du pilote sont convertis en signaux numériques, traités par plusieurs calculateurs, puis transmis via des bus de données à des actionneurs qui pilotent les rotors. Les tolérances de latence sont de l’ordre de quelques millisecondes, avec des exigences de disponibilité proches de 99,999 % sur la durée de vie de l’aéronef. Les systèmes sont redondés, avec plusieurs voies indépendantes, mais l’ensemble reste dépendant d’une logique embarquée.

Helionix repose sur une architecture de type Integrated Modular Avionics (IMA) où plusieurs fonctions partagent du matériel commun, sous la supervision d’un RTOS temps réel certifiable (par exemple VxWorks 653), partitionnant les applications selon des niveaux de criticité (DAL A à C sous DO-178C). Cette mutualisation réduit la masse et les coûts, mais concentre aussi les risques au sein de quelques calculateurs centraux.

La surface d’attaque des architectures Helionix et systèmes similaires

Le rôle critique des RTOS et de la partitionnement

Un RTOS avionique assure l’ordonnancement déterministe des tâches, la gestion mémoire et la communication inter-partitions. Des produits comme VxWorks 653 ou INTEGRITY-178 sont conçus pour garantir l’isolation des fonctions, notamment entre affichage, gestion de mission et commandes de vol primaires.

Sur le papier, un attaquant ne devrait pas pouvoir passer d’une partition “non critique” (par exemple un module de maintenance ou de connectivité) à la partition commandant les gouvernes. En pratique, les tests d’intrusion cherchent justement à vérifier l’absence de défauts de configuration, de services système exposés ou de failles dans les drivers, qui pourraient briser cette isolation.

Un exemple typique consiste à analyser les appels système disponibles dans une partition peu critique et à vérifier s’il est possible de consommer de manière malveillante du temps processeur ou de la mémoire, jusqu’à dégrader la capacité du RTOS à honorer ses tâches les plus prioritaires. L’objectif d’un banc d’essai de cybersécurité est de mesurer l’impact de ce type de déni de service logique sur les délais de calcul et, in fine, sur la stabilité du vol.

Le rôle central des bus de données critiques

Les bus de données critiques tels qu’ARINC 429 et MIL-STD-1553 assurent la communication entre capteurs, calculateurs et actionneurs. ARINC 429, très répandu dans l’aviation civile, est un bus unidirectionnel, point à multipoints, avec un débit typique de 12,5 à 100 kbit/s. MIL-STD-1553, largement utilisé sur plateformes militaires, est un bus bidirectionnel multiplexé, souvent déployé en double redondance, avec un débit d’environ 1 Mbit/s.

Les deux standards ont été conçus pour la fiabilité physique (tolérance aux coupures, au bruit, aux perturbations électromagnétiques), mais sans mécanismes natifs de chiffrement ni d’authentification. Des travaux récents montrent que des attaques de type injection, usurpation ou déni de service sont possibles sur ces bus si un attaquant obtient un point d’entrée, par exemple via une passerelle Ethernet mal protégée ou un équipement de maintenance compromis.

Les vecteurs d’attaque cyber-physiques sur les systèmes FbW/FbL

Les attaques logiques sur les bus ARINC 429 et MIL-STD-1553

Sur ARINC 429, l’absence d’authentification permet théoriquement à un émetteur illégitime d’envoyer des mots de données falsifiés en respectant simplement le format et le timing du bus. Les démonstrations en laboratoire montrent la possibilité de perturber ou de dégrader des fonctions de navigation en injectant des valeurs incohérentes, par exemple des vitesses ou altitudes erronées.

Sur MIL-STD-1553, des études ont détaillé des scénarios d’usurpation du bus controller ou des remote terminals, de saturation du bus par trafic parasite, voire de reconfiguration non autorisée. Là encore, l’objectif des chercheurs est de mesurer jusqu’où un attaquant, parti d’un équipement périphérique compromis, pourrait remonter vers des fonctions de commandes de vol.

Pour les hélicoptères, la spécificité tient au couplage étroit entre ces bus et les actuateurs du rotor principal et du rotor de queue (ou du fenestron). Des messages corrompus peuvent introduire des oscillations, des réponses retardées, ou des dégradations des modes automatiques, avec des conséquences physiques rapides compte tenu de la faible hauteur et de la proximité du sol sur de nombreuses missions.

Les vecteurs via passerelles et réseaux mixtes

Les architectures avioniques modernes combinent bus historiques (ARINC 429, MIL-STD-1553) et réseaux plus récents (Ethernet avionique, parfois fibre optique sur Fly-by-Light). Des passerelles assurent la translation de protocoles. C’est précisément à ces interfaces que se concentrent aujourd’hui de nombreux tests d’intrusion avioniques.

Un scénario typique de modélisation de menaces consiste à considérer qu’un flux de données non critiques (maintenance, enregistrement de vol, connectivité passagers ou mission) est compromis à travers un lien IP. Les équipes de cybersécurité cherchent alors à savoir si une mauvaise segmentation réseau, une configuration défaillante de la passerelle ou un firmware non sécurisé permettent de rebondir vers un bus critique.

La méthodologie de tests d’intrusion et de modélisation des menaces

La construction d’un banc d’essai représentatif

Les industriels et laboratoires montent des bancs de test combinant calculateurs réels, simulateurs de capteurs et d’actionneurs, et bus ARINC/MIL-STD-1553 en boucle matérielle (Hardware-in-the-Loop). L’idée n’est pas de compromettre un hélicoptère en vol, mais de reproduire en environnement contrôlé l’ensemble de la chaîne commande–capteur–actuateur.

Sur de tels bancs, les spécialistes injectent des perturbations sur les signaux, les trames, ou sur la charge CPU du RTOS, tout en surveillant les variables de vol simulées : assiette, vitesse, altitude, couples, vibrations. Le but est d’identifier à quel moment un comportement anormal de la pile logicielle peut générer un effet physique mesurable, puis de vérifier que les protections et logiques de repli prennent le relais.

La modélisation des menaces appliquée aux commandes de vol

La modélisation des menaces adaptée aux systèmes de vol ne se limite pas aux vecteurs purement numériques. Elle doit intégrer les contraintes de certification, les scénarios opérationnels et les conséquences physiques. Les approches inspirées de STRIDE ou d’E-SAF (pour l’aéronautique) sont adaptées pour décrire, pour chaque interface :

• quelles sont les entités qui émettent et reçoivent ;
• quelles sont les hypothèses de confiance (par exemple “câble blindé, accès physique très difficile”) ;
• quels types d’attaques sont plausibles (injection de données, altération, déni de service, élévation de privilèges) ;
• quels mécanismes d’alerte existent côté pilote (annonces, drapeaux, modes dégradés).

Cette analyse est ensuite reliée à des calculs de probabilité et de gravité, déjà utilisés en sûreté de fonctionnement (FHA, FMEA, FTA), pour prioriser les mesures de cybersécurité à implémenter.

Les scénarios d’attaque et leurs effets physiques sur l’hélicoptère

La spécificité d’un hélicoptère par rapport à un avion réside dans sa forte instabilité naturelle. Les commandes de vol assistées compensent en permanence des déséquilibres complexes entre portance du rotor principal, couple moteur, vent et masse. Une altération, même limitée, de la qualité des données ou des lois de pilotage peut donc se traduire plus rapidement par un écart dangereux.

Les scénarios étudiés en laboratoire se concentrent rarement sur la “prise de contrôle totale”, trop spectaculaire et peu réaliste dans un environnement certifié et redondant. Ils explorent plutôt des effets subtils :

• désactivation de certaines protections enveloppe ;
• retard sporadique dans l’exécution de la loi d’asservissement ;
• incohérence entre affichage cockpit et capteurs réels ;
• transitions intempestives entre modes automatiques et manuels.

Les ingénieurs évaluent alors la capacité du pilote à détecter ces comportements, à reprendre la main, et à mener une procédure sûre. Le log des bus ARINC et MIL-STD-1553, couplé aux paramètres de vol, est analysé pour identifier la signature des attaques simulées et alimenter les futures fonctions de détection.

Les contre-mesures pour renforcer la sécurité cyber-physique des systèmes FbW/FbL

Face aux vulnérabilités structurelles d’ARINC 429 et MIL-STD-1553, les industriels déploient un ensemble de parades. Certaines sont purement architecturales : renforcement de la segmentation entre réseaux critiques et non critiques, réduction des passerelles, désactivation des services non indispensables en exploitation. D’autres relèvent de la cryptographie et de l’authentification ajoutées au-dessus des protocoles historiques, par exemple via des “bus guardians” ou des couches de sécurité dédiées.

Les RTOS jouent aussi un rôle croissant : durcissement de la configuration, journalisation fine des évènements, surveillance de l’intégrité logicielle (secure boot, signatures), et contrôles de flux entre partitions. Des produits comme VxWorks 653, INTEGRITY ou d’autres OS temps réel certifiables intègrent désormais des fonctions pensées dès l’origine pour la cybersécurité, en plus de la sécurité fonctionnelle.

Enfin, les méthodes de tests d’intrusion avioniques tendent à se systématiser, sous l’impulsion de normes comme DO-326A/DO-356A sur la sécurité aéronautique. À l’image des essais de résistance structurelle ou des tests de givrage, les hélicoptères devront démontrer leur résilience à des scénarios cyber réalistes avant certification.

L’essor rapide des suites avioniques intégrées et des commandes de vol numériques a placé les hélicoptères dans la même zone de risque que les avions de ligne, mais avec des dynamiques de vol encore plus sensibles aux perturbations logicielles. Les travaux sur les bus de données, les actuateurs électro-hydrauliques, les RTOS et les bancs Hardware-in-the-Loop montrent qu’il est possible de transformer une menace abstraite en cas de test concret, mesurable, et donc maîtrisable. La prochaine étape consistera à intégrer ces contraintes dès la conception des architectures FbW et FbL, comme on l’a fait pour la sécurité fonctionnelle depuis des décennies. À cette condition, la promesse de systèmes plus automatisés, comme Helionix V10 et ses successeurs, pourra se réaliser sans transformer la surface numérique d’attaque en talon d’Achille du rotor.

HELICOLAND est le spécialiste de l’hélicoptère.