Discussion :

[Bill Fassinou]

La FAA aurait assoupli l’approbation du logiciel MCAS du Boeing 737 Max en 2017,
selon les résultats d'une enquête

Environ cinq mois après les deux crashs survenus peu après leur décollage et n'ayant laissé aucun survivant, en octobre 2018 (Vol 610 Lion Air) et en mars 2019 (Vol 302 Ethiopian Airlines), le 737 Max est toujours cloué au sol et interdit de vol dans tous les pays. Les efforts pour résoudre les défaillances du système MCAS n’aboutissent toujours pas et, pire encore, d’autres problèmes apparaissent avec le temps, ce qui pourrait amener l’avionneur à suspendre la production du 737 Max. Cela dit, il semblerait que cette crise sans précédent dans l’histoire de l’aviation aurait pu être évitée si l’agence de réglementation de l’aviation n’avait pas relâché sa surveillance.

La FAA aurait manqué de rigueur dans le processus réglementaire de validation du 737 Max

Selon une enquête menée par le New York Times, la Federal Aviation Administration (FAA) aurait manqué de rigueur dans le processus réglementaire de validation des aéronefs, compromettant ainsi la sécurité du 737 Max. Les conclusions de l’enquête du New York Times soulignent que la FAA n’a pas procédé au contrôle du MCAS comme cela aurait pu l’être. La société a effectué ses propres évaluations du système, qui n’ont pas été soumises à des tests de résistance par l’organisme de réglementation. Selon le New York Times, l'agence aurait laissé deux ingénieurs relativement peu expérimentés superviser les premiers travaux de Boeing sur le système.

Selon le journal américain, ce n’est qu’après le premier crash du 737 Max de Boeing que les ingénieurs de la FAA ont pris conscience de façon troublante du fait qu’ils ne comprenaient pas parfaitement le système automatisé qui avait permis de plonger l'avion dans le piqué, tuant tout le monde à bord. Quelques jours après l’incident d’octobre 2018, ces derniers ont parcouru leurs dossiers à la recherche d’informations sur le système MACAS conçu pour éviter les blocages, mais ils n'ont pas trouvé grand-chose. Les régulateurs n'avaient jamais évalué de manière indépendante les risques du logiciel dangereux appelé MCAS lorsqu'ils ont approuvé l'avion en 2017.

De plus, plus d'une douzaine d'employés et d'anciens employés de la FAA et de Boeing qui ont discuté avec le New York Times ont décrit un processus réglementaire défaillant qui avait pour effet de neutraliser l'autorité de surveillance de l'agence. Boeing a-t-il certifié lui-même la sécurité du 737 Max ? Si l’on en croit les faits que rapporte le journal américain, il semblerait que la réponse soit oui. En effet, après avoir laissé deux ingénieurs relativement peu expérimentés superviser les premiers travaux de Boeing sur le système, La Federal Aviation Administration aurait finalement confié la responsabilité de l’approbation du MCAS au fabricant, c’est-à-dire à Boeing lui-même.

Boeing aurait-il fait pression sur la FAA pour obtenir l’approbation du 737 Max en 2017 ?

Rien dans le rapport du NYT ne permet pour l’instant d’affirmer cela, mais certains estiment que des sociétés ou des entreprises de plus en plus puissantes dotées de pouvoirs de lobbying accrus et de relations personnelles avec de hauts responsables du gouvernement arrivent souvent à échapper aux différents contrôles réglementaires. Tout de même, il faut noter qu’après avoir effectué ses propres tests sur le système MCAS, Boeing n'a pas eu à partager les détails du système avec les deux ingénieurs de l'agence. Ils n'étaient pas au courant de ses subtilités, selon deux personnes proches du sujet.

Plus tard dans le développement du Max, Boeing a décidé d'étendre l'utilisation de MCAS, afin de s'assurer que l'avion volait sans heurts. La nouvelle version, jugée plus risquée, s’appuyait sur un seul capteur et pouvait beaucoup plus piquer le nez de l’avion. Cependant, Boeing n'a pas soumis d'examen officiel du MCAS après la refonte. Cela n'était pas requis par les règles de la FAA. Selon le NYT, la FAA et Boeing ont, depuis les deux crashs d’octobre et de mars, défendu la certification de l'avion, affirmant qu'ils avaient suivi les procédures appropriées et respecté les normes les plus strictes. La FAA s’est défendue dans un communiqué ce vendredi.

La FAA et Boeing atteste que le 737 Max est bien certifié

« Les processus de certification de l'agence sont bien établis et ont toujours produit des conceptions d'avions sûres. Le programme de certification du 737 Max a nécessité 110 000 heures de travail de la part du personnel de la FAA, y compris des vols d’appui et les 297 vols d’essai », a déclaré le régulateur dans un communiqué vendredi. À son tour, Boeing a déclaré que « la rigueur et le leadership réglementaire de la FAA ont entraîné des niveaux de sécurité sans cesse croissants au fil des décennies ». « Le 737 Max répondait aux normes et exigences strictes de la FAA, car il avait été certifié conforme aux processus de la FAA », a-t-il ajouté.

Selon le NYT, les procureurs et les législateurs fédéraux examinent actuellement si le processus de réglementation est fondamentalement défectueux. À mesure que les avions se perfectionnent sur le plan technologique, les règles, même lorsqu'elles sont suivies, risquent de ne pas être suffisantes pour assurer la sécurité. Le nouveau logiciel a joué un rôle dans les deux catastrophes qui ont coûté la vie à des centaines de personnes. « MCAS a-t-il eu l'attention dont il avait besoin ? C’est l’une des choses que nous examinons », a déclaré Chris Hart, l’ancien président du National Transportation Safety Board, qui dirige à présent un groupe de travail multipartite chargé d’enquêter sur l’approbation du 737 Max.

« Alors qu’il passait d’un système moins robuste à un système plus puissant, les certificateurs étaient-ils au courant des changements ? », cherche-t-il à savoir. Selon le NYT, Boeing avait besoin du processus d'approbation du Max pour pouvoir agir rapidement. Quelques mois après son rival Airbus, la société était en course pour finir l'avion, une version plus économe en carburant de son best-seller 737. Le NYT a révélé que cela a fait en sorte que Boeing Company, le plus grand fabricant aéronautique et aérospatial du pays, a été traité comme un client. Les responsables de la FAA prenaient leurs décisions en fonction des délais et du budget de l'entreprise.

Certains faits font même état de ce que, au moment où Ali Bahrami était le plus haut responsable de la Federal Aviation Administration à Seattle, certains ingénieurs pensent qu'il avait installé des gestionnaires qui faisaient preuve de déférence envers Boeing. D’après le NYT, cela a longtemps été une relation intime. Les hauts responsables des agences se sont mélangés entre le gouvernement et l'industrie. Ainsi, en octobre 2018, lorsque le premier vol s’est écrasé, les ingénieurs de la FAA ont été choqués de constater qu'ils ne disposaient pas d'une analyse complète du MCAS. Pourquoi l’agence persiste-t-elle donc à affirmer que le processus de réglementation du 737 Max est conforme aux exigences en place ?

Le NYT a révélé que la revue de sécurité figurant dans leurs dossiers ne mentionnait pas le fait que le système pouvait pousser de façon agressive le nez de l'avion et se déclencher à plusieurs reprises, rendant ainsi difficile la reprise de contrôle de l'avion, comme ce fut le cas lors du vol Lion Air. Certains témoignages d’anciens et nouveaux employés de la FAA laissent paraître que Bahrami avait créé un groupe que Boeing pouvait contrôler et invitait les gens à rejoindre le groupe.

Pendant des décennies, la FAA a fait appel à des ingénieurs de Boeing pour aider à la certification des avions. Mais après un lobbying intense de l'industrie auprès du Congrès, l'agence a adopté en 2005 des règles qui donneraient encore plus de contrôle à des fabricants comme Boeing. Auparavant, l'agence avait sélectionné les ingénieurs de la société pour travailler en son nom, mais en vertu de la nouvelle réglementation, Boeing pourrait les choisir, même si la FAA dispose d'un droit de veto. De plus, les informations rapportées par le NYT révèlent que Bahrami avait déjà quitté la FAA en 2013 pour rejoindre un groupe de lobbying qui faisait pression sur l’agence de réglementation.

En 2017, il est revenu auprès de l’agence pour occuper le poste de responsable de la sécurité. Selon un responsable de l'agence, en 2018, la FAA laissait la compagnie certifier 96 % de son propre travail. Nicole Potter, ingénieur en systèmes de propulsion et de carburant de la FAA qui travaillait sur le Max, a déclaré que les superviseurs lui avaient demandé à plusieurs reprises de renoncer à son droit d'approuver les documents de sécurité. Elle devait souvent se battre pour garder le travail. Boeing ayant pris davantage de contrôle, les ingénieurs de la FAA ont constaté qu'ils disposaient de peu de puissance, même lorsqu'ils soulevaient des préoccupations.

D’autres informations de l’enquête du NYT ont également révélé que sous l’impression que le système MCAS était insignifiant, les responsables de l’agence n’ont pas demandé à Boeing d’en parler aux pilotes. Lorsque Boeing a demandé plus tard à supprimer la mention du MCAS du manuel du pilote, l'agence a accepté. La FAA n'a pas non plus mentionné le logiciel dans les 30 pages de descriptions détaillées soulignant les différences entre le Max et l'itération précédente du 737. Tout compte fait, certains estiment que les incidents survenus auraient pu être évités si la FAA ne souffrait d’une pression énorme des groupes de lobbying et avait la main mise sur l’approbation du 737 Max.

L’enquête du New York Times a aussi révélé que quelques jours après le crash de Lion Air, la FAA a invité des dirigeants de Boeing à son siège à Seattle. Au cours des échanges, les responsables de la FAA étaient « incrédules » pendant que les dirigeants de Boeing expliquaient des détails du système qu’ils ne connaissaient pas. Enfin, l'une des personnes interrogées par le journal américain a déclaré qu’au milieu de la conversation, un employé de la FAA a posé la question suivante : « pourquoi Boeing n'avait-il pas mis à jour l'analyse de la sécurité d'un système devenu si dangereux ? ».

Source : The New York Times

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Le logiciel de vol du 737 Max est défectueux, car Boeing a confié le travail à des ingénieurs payés 9 $/h ? Oui, selon d'anciens employés du groupe

Boeing pourrait suspendre la production du 737 Max en raison des répercussions économiques de la crise qui dure depuis 5 mois

Le correctif logiciel de Boeing pour le problème du 737 MAX submerge l'ordinateur de bord de l'avion selon les pilotes de la FAA

Un bogue logiciel de l'Airbus A350 oblige les compagnies aériennes à redémarrer les avions toutes les 149 heures

Boeing 737 MAX, pourquoi une mise à jour logicielle ne peut pas compenser son défaut de conception. Gregory Travis suggère une révision du design

[filipp]

A mon humble avis le Max ne sera pas recertifié avant longtemps...l'EASA va bien trouver encore d'autres bugs !
Pas de cadeaux à ces bandits de chez Boeing !

[Christian Olivier]

Boeing travaillerait sur un nouveau système de contrôle de vol pour son 737 MAX
Dont le fonctionnement repose sur deux ordinateurs plutôt qu’un seul

Boeing a récemment annoncé avoir entrepris la refonte totale du système de contrôle de vol de son 737 MAX. Pour rappel, cet avion est interdit de vol depuis près de cinq mois parce que les régulateurs de l’aviation civile à l’échelle mondiale le jugent encore trop dangereux pour reprendre du service, après la survenue des deux catastrophes aériennes distinctes impliquant ce modèle qui ont couté la vie à 346 personnes.

D’après certaines sources proches du dossier ayant requis l’anonymat, l’avionneur américain serait en train de modifier le logiciel du système de contrôle de vol automatisé de son 737 MAX afin qu’il utilise un deuxième ordinateur de contrôle de vol pour le rendre plus fiable. Le nouveau logiciel fera en sorte que le fonctionnement de l’ensemble du système de contrôle de vol de l’avion, y compris le MCAS, repose sur deux ordinateurs plutôt que sur un seul. La prise en charge des données fournies simultanément par ces deux ordinateurs de contrôle de vol, au lieu d’un seul, ajoutera la couche de sécurité liée à la redondance qui faisait jusqu’à lors cruellement défaut à ce système de vol.

Dans la nouvelle configuration, les deux ordinateurs de contrôle de vol devraient être monitorés par voie logicielle et les pilotes devraient être notifiés, lorsque ces machines fourniront des résultats en rapport avec l’altitude, l’angle d’attaque, la vitesse de l’air ou d'autres paramètres qui ne sont pas concordant. Un seul ordinateur était utilisé par le passé, car Boeing jugeait que son système était statistiquement fiable.

Lors des investigations qui ont suivi les deux crashs suscités, la FAA a découvert que le traitement des données par l’ordinateur de bord du 737 Max pouvait causer un décrochage soudain et imprévisible que les pilotes avaient beaucoup de mal à corriger pour reprendre rapidement le contrôle de l’avion. Les effets de ce dysfonctionnement sont similaires à ceux observés avec une autre vulnérabilité qui affecte la version initiale et défectueuse du dispositif de stabilisation en vol ou MCAS (Maneuvering Characteristics Augmentation System) du 737 Max, même s’ils ont des origines différentes. À titre de rappel, le MCAS utilise un moteur pour déplacer une petite aile située à la queue de l’avion - connue aussi comme étant un stabilisateur horizontal - qui permet d’ajuster les mouvements ascendants et descendants (trim) de l’avion. La seconde défaillance relevée par la FAA pourrait inciter cette même aile à se déplacer sans que le pilote ait au préalable initié la réalisation de cette opération.

De son côté, l’organisme européen de réglementation de l’aviation (AESA) a dressé une liste détaillée de cinq exigences majeures auxquelles Boeing doit répondre avant d’autoriser la remise en service du 737 Max. Cette liste fait suite à l’examen général et indépendant du système de commandes de vol des avions 737 dans son intégralité, un examen diligenté par l’AESA qui s’est concentré sur les différences entre la variante Max et l’ancien modèle. Outre les défaillances critiques mentionnées précédemment, l’AESA est préoccupée par : la difficulté potentielle des pilotes à tourner le volant de compensation manuelle de l’avion, le manque de fiabilité des capteurs d’angle d’attaque du Max, les procédures de formation inadéquates et le fait que pilote automatique du jet ne se désactive pas dans certaines situations d’urgence.

Pour le moment, il est difficile de savoir si l’atténuation de ces failles requiert une simple mise à jour du logiciel de vol du 737 MAX ou des changements plus en profondeur de l’avion lui-même, sachant que certains experts du milieu à l’instar de Gregory Travis, ingénieur logiciel chevronné et un pilote expérimenté, estiment qu’une mise à jour logicielle ne peut pas compenser les défauts de conception de cet avion et préconisent une révision complète du design de l’appareil. Boeing semble, à l’heure actuelle, privilégier la première solution.

Une fois achevé, le nouveau logiciel de vol donnera à Boeing un progiciel complet que les autorités de réglementation pourront évaluer. L’avionneur américain devrait présenter les changements tant attendus à la FAA et aux autres organismes de réglementation en septembre et espère que son 737 Max pourra reprendre son vol avant la fin de l’année, idéalement à partir du mois d’octobre.

Source : Seattle Times

Et vous ?

Qu’en pensez-vous ?

Voir aussi

La FAA aurait assoupli le processus d'approbation du logiciel MCAS du Boeing 737 Max en 2017, selon les résultats d'une enquête
L'AESA exige des changements supplémentaires sur le 737 Max, dont le pilote automatique qui ne s'était pas débrayé dans certaines situations d'urgence
Boeing a tellement de 737 Max immobilisés et en attente de révision qu'il utilise le parking de ses employés pour stocker les avions
Le calvaire de Boeing continue malgré le sommet mondial organisé par la FAA pour discuter du cas des 737 Max toujours interdits de vol

[rawsrc]

euh, vous allez dire que je suis un peu idiot, mais je ne vois pas trop l'intérêt de la chose. Rajouter un calculateur qui exécute le même programme (bancal) que son voisin et comparer les résultats des deux calculateurs c'est clair que ça améliore vachement la sécurité...
Ah ça ouais, quand un calculateur tombe en carafe, l'autre va prendre le relais et on se retrouvera exactement avec la même situation que par le passé. Sont forts chez Boeing.

Ils peuvent rajouter dix calculateurs s'ils le veulent mais ça ne va pas corriger les problèmes structurels et architecturaux de cet avion. M'est d'avis que c'est un cataplasme sur une jambe de bois.
Pour en arriver à cette extrémité, j'ose à peine imaginer la pression qu'il doit y avoir sur les équipes qui se coltinent le problème. Je les plains. Tout le monde doit être en transe du matin au soir...

[filipp]

Pas suffisant du tout Il faut au minimum installer un troisieme capteur AOA comme sur les Airbus...mais le probleme dd fond c'est son instabilité intrinsèque...ils ne sont pas sortis de l'auberge !
Pendant des mois encore les nouveaux cercueils volants fabriqués vont s'entasser sur les parkings de Seattle ...

[xor AX AX]

Bonjour,

Je cherche le nom et l'adresse mail d'un des membres de la cellule de crise de Boeing pour le 737Max (s'ils en ont une).

J'explique :

L'agence Européenne a mis en évidence un défaut du processeur des 737MAX à gérer la multitude des informations transmises par l'avionique. Ce sont des Intel 80286 dépassés (mais réputés fiables), cf articles précédents de la même source (developpez/net).

Je suis un oldTimer en informatique (né en 1961) et ai programmé en langage machine (et assembleur) durant cette époque héroïque (en fait, depuis le Zilog Z80, 6502, 6809 puis 8088 et consorts). Mon nicname XOR AX,AX sur ce forum pourra attirer l'attention de certains (ma spécialité, c'était le NOP 90h pour désactiver les protections des jeux). Mais j'ai aussi longuement pratiqué les IRQ's (RS232 par exemple) avec des contraintes en terme de cycles d'horloge.

J'ai postulé auprès de Boeing US et FR sans résultat positif.

Je pense pouvoir leur apporter mon expérience en la matière (avec un test gratuit sans engagement).

Avez-vous un contact ou une info ?

Best regards.

[6carbon]

J'ai postulé auprès de Boeing US et FR sans résultat positif.

Postules chez HCL : https://www.developpez.com/actu/267851/Le-logiciel-de-vol-du-737-Max-est-defectueux-car-Boeing-a-confie-le-travail-a-des-ingenieurs-payes-9-h-Oui-selon-d-anciens-employes-du-groupe/

[archqt]

euh, vous allez dire que je suis un peu idiot, mais je ne vois pas trop l'intérêt de la chose. Rajouter un calculateur qui exécute le même programme (bancal) que son voisin et comparer les résultats des deux calculateurs c'est clair que ça améliore vachement la sécurité...
Ah ça ouais, quand un calculateur tombe en carafe, l'autre va prendre le relais et on se retrouvera exactement avec la même situation que par le passé. Sont forts chez Boeing.

Ils peuvent rajouter dix calculateurs s'ils le veulent mais ça ne va pas corriger les problèmes structurels et architecturaux de cet avion. M'est d'avis que c'est un cataplasme sur une jambe de bois.
Pour en arriver à cette extrémité, j'ose à peine imaginer la pression qu'il doit y avoir sur les équipes qui se coltinent le problème. Je les plains. Tout le monde doit être en transe du matin au soir...

Non pas idiot car tu ne sais pas tout. Il faut dupliquer les systèmes MAIS ils doivent être réalisés sur des cartes différentes, des compilateurs différents et des équipes différentes. Ce qui permettra d'éviter d'avoir le même bug de chaque côté.

Par contre juste dupliquer...uhm pas assez il faudrait 3 systèmes. Je ne comprends pas Boeing, ce n'est pas ce qui coûte le plus cher dans un avion, à vouloir économiser un peu ils perdent des milliards et LE PLUS IMPORTANT ils ont tués des gens!!!! Cela mériterait de la prison ferme pour les dirigeants (pas les ingénieurs ils ne font que ce qu'on leur demande).

[archqt]

Bonjour,

Je cherche le nom et l'adresse mail d'un des membres de la cellule de crise de Boeing pour le 737Max (s'ils en ont une).

J'explique :

L'agence Européenne a mis en évidence un défaut du processeur des 737MAX à gérer la multitude des informations transmises par l'avionique. Ce sont des Intel 80286 dépassés (mais réputés fiables), cf articles précédents de la même source (developpez/net).

Je suis un oldTimer en informatique (né en 1961) et ai programmé en langage machine (et assembleur) durant cette époque héroïque (en fait, depuis le Zilog Z80, 6502, 6809 puis 8088 et consorts). Mon nicname XOR AX,AX sur ce forum pourra attirer l'attention de certains (ma spécialité, c'était le NOP 90h pour désactiver les protections des jeux). Mais j'ai aussi longuement pratiqué les IRQ's (RS232 par exemple) avec des contraintes en terme de cycles d'horloge.

J'ai postulé auprès de Boeing US et FR sans résultat positif.

Je pense pouvoir leur apporter mon expérience en la matière (avec un test gratuit sans engagement).

Avez-vous un contact ou une info ?

Best regards.

Bah le xor est un classique sur la plupart des uP comme le Z80 pour remettre un registre à 0 plus rapidement. Par contre le temps ou l'on programmait en assembleur pour finir son calcul avant la fin du balayage cathodique est un peu fini je pense (ce que j'ai fait aussi sur des démos). Je ne suis pas sûr que c'est cela qu'ils recherchent.
A mon avis, un système juste temps réel avec un temps de latence court suffirait certainement sans devoir programmer directement en assembleur x86.

Mais bonne chance à toi pour la suite.

[xor AX AX]

Bonsoir,

@6carbon : merci, j'avais lu l'article mais étais passé totalement à côté. Comme quoi la carbonite (level 6) a encore prouvé ses mérites.
HCL, je vais éviter : ils doivent être hors course après leur prestation euh, comment dire, percutante :-) pour la plaisanterie et :-(( pour les passagers et l'équipage. Mais tu donne le moyen de rebondir (Booooooooooooeiiiiiiiiiiiiing !).

@archqt : la fin du balayage cathodique je n'ai pas utilisé mais les IRQ sur les I/O disquettes, si. Et dans ce cas, les cycles sont bcp + importants (Sinclair ZX80 n'affichait plus pendant la lecture des k7 = pb de rafraîchissement).

A tous les autres @ : désolé, je n'ai pas pu lire tous vos posts mais je le fais sous 48h (sauf si le ciel me tombe sur la tête mais dans ce cas, j'ai un plan B).

Vous tous, de ce forum, me réconciliez avec la race humaine : les geeks de tous âges seront toujours plus forts que tous les moldus de ce monde et des autres.

01000010 01101001 01110011 01101111 01110101 01110011

[xor AX AX]

Bah le xor est un classique sur la plupart des uP comme le Z80 pour remettre un registre à 0 plus rapidement. Par contre le temps ou l'on programmait en assembleur pour finir son calcul avant la fin du balayage cathodique est un peu fini je pense (ce que j'ai fait aussi sur des démos). Je ne suis pas sûr que c'est cela qu'ils recherchent.
A mon avis, un système juste temps réel avec un temps de latence court suffirait certainement sans devoir programmer directement en assembleur x86.

Mais bonne chance à toi pour la suite.

Le XOR a 2 atouts supplémentaires par rapport à un classique MOV :

1. il est plus efficace
2. il remet le registre flags à une valeur "neutre" connue (CY ou CF, OV ou OF...)

Et d'après ce que j'ai lu deci delà, pour la série MAX de Boeing (et autres ?), il s'agit bien d'un problème de saturation de la gestion des interruptions.

Il reste donc à déterminer :

1. en quel langage a été écrit le soft (haut ou bas niveau)
2. quelle est le level d'optimisation du code en matière de cycles (et donc en utilisation de la mémoire, c'est un petit plus j'imagine)
3. quel est non pas l'âge du capitaine mais celui des programmeurs

Merci de ta réponse qui m'a permis de préciser la mienne et de clarifier les idées que j'ai en tête.

[Stéphane le calme]

Une fuite de code d'un composant du Boeing 787 expose une multitude de vulnérabilités de corruption de mémoire,
l'entreprise en minimise la portée

En septembre dernier, Ruben Santamarta, chercheur en sécurité, participait à une recherche sur Google de documents techniques relatifs à son obsession de longue date : la cybersécurité des avions. Il a été surpris de découvrir un serveur entièrement non protégé sur le réseau de Boeing, apparemment plein de code conçu pour fonctionner sur les avions 737 et 787, laissé accessible au public et ouvert à quiconque le trouverait. Alors il a téléchargé tout ce qu'il pouvait voir.

Presque un an plus tard, Santamarta affirme que cette fuite de code l’a conduit à un événement sans précédent : découvrir des failles de sécurité dans l’un des composants du Boeing 787 (également connu par son surnom Dreamliner). Il avance que pour un hacker, l’exploitation de ces bogues pourrait constituer un pas dans une attaque en plusieurs étapes qui commence dans le système de divertissement en vol (en anglais In-Flight Entertainment, un équipement assurant la distraction des passagers à bord d'un aéronef) et s’étend à des systèmes hautement protégés et critiques comme les commandes de vol et les capteurs.

Boeing nie catégoriquement qu'une telle attaque est possible et rejette l'affirmation selon laquelle le chercheur aurait découvert un chemin potentiel pour y parvenir. Santamarta lui-même admet qu’il n’a pas une image suffisamment complète de l’avion - ni un accès à un avion à réaction de 250 millions de dollars - pour confirmer ses déclarations. Mais lui et d'autres chercheurs en cybersécurité avionique qui ont examiné ses conclusions affirment que, si une cyberattaque complète sur les systèmes les plus sensibles d'un avion reste loin d'être une menace matérielle, les failles découvertes dans le code du 787 représentent néanmoins un manque troublant d'attention portée à la cybersécurité par Boeing. Ils ont également déclaré que les réponses de la société n’avaient pas été totalement rassurantes, étant donné l’importance cruciale de la protection des avions commerciaux contre les pirates.

Une multitude de vulnérabilités de corruption de mémoire dans ce CIS / MS

Santamarta, chercheur au sein de la société de sécurité IOActive, a manifesté son intention de présenter ses conclusions lors de la conférence Black Hat. Il voulait notamment donner des détails de nombreuses failles de sécurité sérieuses dans le code d'un composant du 787 connu sous le nom de Crew Information Service/Maintenance System. Le CIS / MS est responsable d’applications telles que les systèmes de maintenance et la « sacoche de vol électronique ».

La sacoche de vol électronique - electronic flight bag (EFB) - est un dispositif électronique de gestion de l'information qui aide les équipages à effectuer des tâches de gestion de vol plus facilement et plus efficacement avec moins de papier. Il s'agit d'une plateforme informatique d'usage général destinée à réduire ou remplacer le matériel de référence à base de papier comme le manuel de l'avion, le manuel d'exploitation, le manuel d'exploitation des équipages de conduite, et les cartes de navigation (y compris carte mobile pour opérations aériennes et terrestres). En outre, l'EFB peut héberger des applications logicielles spécialement conçues pour automatiser d'autres fonctions, normalement effectuées à la main, comme les calculs de performances de décollage, ou de centrage.

Santamarta dit avoir trouvé une multitude de vulnérabilités de corruption de mémoire dans ce CIS / MS, et qu'un pirate informatique pourrait utiliser ces failles comme point d’entrée dans une partie restreinte du réseau d'un avion. Selon Santamarta, un attaquant pourrait potentiellement pivoter du système de divertissement en vol au CIS / MS pour envoyer des commandes à des composants beaucoup plus sensibles qui contrôlent les systèmes critiques de l'avion, notamment son moteur, ses freins et ses capteurs. Boeing maintient que d'autres barrières de sécurité dans l'architecture de réseau du 787 rendraient cette progression impossible.

Santamarta admet qu'il n'a pas assez de visibilité sur les internes du 787 pour savoir si ces barrières de sécurité sont contournables. Mais il dit que ses recherches représentent néanmoins une étape importante dans la démonstration de la possibilité d’une véritable technique de piratage d’avions. « Nous n'avons pas de 787 à tester, nous ne pouvons donc pas en évaluer l'impact », a déclaré Santamarta. « Nous ne disons pas que c'est le jour du jugement dernier, encore moins que nous pouvons pirater un avion. Mais nous pouvons dire que ce genre d’erreur n’a pas lieu d’être ».

La réaction de Boeing

Dans une déclaration, Boeing a affirmé avoir enquêté sur les affirmations d'IOActive et conclu qu'elles ne représentaient pas une menace réelle de cyberattaque. « Les scénarios d'IOActive ne peuvent affecter aucun système critique ou essentiel et ne décrivent pas comment les attaquants distants peuvent accéder à des systèmes 787 importants tels que le système avionique ». De plus, Boeing avance que « IOActive n’a analysé qu’une partie du réseau 787 à l’aide d’outils rudimentaires et n’avait pas accès aux systèmes ni aux environnements de travail plus vastes. IOActive a choisi d’ignorer les résultats que nous avons vérifiés ainsi que les limitations de ses propres recherches. Elle a plutôt choisi de faire des déclarations provocantes comme si elle avait eu accès et analysé le système de travail. Bien que nous apprécions l’engagement responsable de chercheurs indépendants en cybersécurité, nous avons été déçus par la présentation irresponsable d’IOActive ».

Un porte-parole de la société a déclaré qu'en enquêtant sur les affirmations d'IOActive, Boeing avait été jusqu'à mettre un véritable Boeing 787 en « flight mode » pour effectuer des tests. Une fois dans ce mode, les ingénieurs en sécurité de Boeing ont tenté d'exploiter les vulnérabilités exposées par Santamarta. Ils ont constaté qu'ils ne pouvaient pas mener une attaque avec succès. Honeywell, qui a fourni à Boeing le code CIS / MS, a également déclaré dans un communiqué : « Après de nombreux tests, Honeywell et ses partenaires ont déterminé que la sécurité des vols ne présentait aucune menace, les systèmes critiques du 787 ne pouvant en être affectés ».

Des « mécanismes de protection supplémentaires »

Les revendications d'attaque d'IOActive, ainsi que les réfutations de Honeywell et de Boeing, sont basées sur l'architecture spécifique des composants internes du 787. Les systèmes numériques du Dreamliner sont divisés en trois réseaux:

• un réseau de données ouvert (Open Data Network), où sont placés des composants non sensibles comme le système de divertissement en vol;
• un réseau de données isolé (Isolated Data Network), qui comprend des composants un peu plus sensibles, tels que le CIS / MS, ciblés par IOActive;
• et enfin le Common Data Network, le plus sensible des trois, qui se connecte aux systèmes d'avionique et de sécurité de l'avion.

Santamarta affirme que les vulnérabilités qu’il a trouvées dans le CIS / MS, pris en sandwich entre l’ODN et le CDN, fournissent un pont entre l’un et l’autre.

Mais Boeing affirme qu’il dispose à la fois de « mécanismes de protection supplémentaires » dans le CIS / MS qui empêcheraient l’exploitation de ses bogues depuis l’ODN, et d’un autre périphérique matériel entre l’IDN semi-sensible (où se trouve le CIS / MS) et le très sensible CDN. Selon la société, cette seconde barrière ne permet que le transfert de données d’une partie du réseau à l’autre, plutôt que des commandes exécutables qui seraient nécessaires pour affecter les systèmes critiques de l’avion.

« Bien que nous ne fournissions pas de détails sur nos mesures et protections en matière de cybersécurité pour des raisons de sécurité, Boeing est confiant que ses avions sont à l'abri de la cyberattaque », conclut la société.

Boeing a déclaré avoir également consulté l'administration fédérale de l'aviation et le département de la Sécurité intérieure des États-Unis au sujet de l'attaque de Santamarta. Un porte-parole de la FAA a déclaré que l’administration était « satisfaite de l’évaluation du problème faite par le fabricant ».

Plusieurs chercheurs ne sont pas satisfaits de la conclusion de Boeing

Même en accordant du crédit aux affirmations de Boeing concernant ses barrières de sécurité, les failles découvertes par Santamarta sont tellement flagrantes qu’elles ne devraient pas être écartées, déclare Stefan Savage, professeur d’informatique à l’Université de Californie à San Diego, qui travaille actuellement avec d’autres chercheurs universitaires sur une plateforme de test de cybersécurité avionique. « L'affirmation selon laquelle on ne devrait pas s'inquiéter d'une vulnérabilité, car d'autres protections empêchent son exploitation, a un très mauvais historique en matière de sécurité informatique », déclare Savage. « Typiquement, là où il y a de la fumée, il y a du feu ».

Savage souligne en particulier une vulnérabilité mise en évidence par Santamarta dans une version du système d’exploitation intégré VxWorks, personnalisée dans ce cas pour Boeing par Honeywell. Santamarta a constaté que lorsqu'une application demande à écrire dans la mémoire de l'ordinateur sous-jacent, le système d'exploitation personnalisé ne vérifie pas correctement qu'il ne surcharge pas le noyau, la partie la plus sensible du système d'exploitation. Selon Savage, combiné avec plusieurs bogues au niveau de l'application, Santamarta a constaté que la vulnérabilité dite d'escalade de privilèges de contrôle des paramètres représente une faille sérieuse, rendue encore plus sérieuse par l'idée que VxWorks s'exécutera probablement dans de nombreux autres composants de l’avion qui pourraient avoir le même bogue.

« Chaque logiciel contient des bogues. Mais ce n’est pas là que je voudrais trouver les bogues. Vérifier les paramètres de l’utilisateur, c’est la sécurité de base », déclare Savage. « Ils ne devraient pas avoir ce genre de vulnérabilités directes, en particulier dans le noyau. De nos jours, il serait inconcevable pour un système d'exploitation grand public de ne pas vérifier les paramètres du pointeur de l'utilisateur, alors je m'attendrais à la même chose d'un avion ».

Un autre chercheur universitaire en cybersécurité en avionique, Karl Koscher, de l’Université de Washington, a déclaré avoir découvert des problèmes de sécurité aussi graves dans un composant d’aéronef que ceux signalés par Santamarta dans CIS / MS. « Peut-être que Boeing l'a délibérément traitée comme non fiable et que le reste du système peut gérer cette partie non fiable », a déclaré Koscher. « “Peu importe, car les mesures d'atténuation sont plus poussées" n'est pas une bonne réponse. Surtout si certaines des mesures d'atténuation s'avèrent moins solides que vous ne le pensez. »

Koscher indique également l'accès CIS / MS à l’Electronic Flight Bag, qui regorge de documents et de matériel de navigation auxquels le pilote d'un avion peut se référer via une tablette dans le cockpit. La corruption de ces données pourrait provoquer une forme de chaos. « Si vous pouvez créer de la confusion et de la désinformation dans le poste de pilotage, cela pourrait conduire à de très mauvais résultats », fait remarquer Koscher.

Un porte-parole de Boeing a déclaré que l’Electronic Flight Bag ne pouvait pas non plus être compromis depuis CIS/MS, même si les deux systèmes se trouvaient dans la même partie du réseau du 787.

Conclusion

Il faut préciser que ni Savage ni Koscher ne croient que, sur la seule base des découvertes de Santamarta, un pirate informatique pourrait constituer un danger immédiat pour un avion ou ses passagers. « Nous sommes loin d'une menace imminente pour la sécurité », a déclaré Savage tout en précisant que « Boeing a du travail à faire ».

Il est difficile de déterminer si les conclusions d'IOActive représentent réellement un pas en avant vers une attaque sérieuse, simplement en raison de la logistique impossible de la recherche sur la sécurité des avions. Des entreprises comme Boeing ont les moyens de tester de manière exhaustive la sécurité d'un avion, mais elles ont également de graves conflits d'intérêts sur les résultats publiés.

Les recherches de Santamarta, en dépit des réfutations et des assurances de Boeing, devraient rappeler que la sécurité des aéronefs est loin d'être un domaine épargné en matière de cybersécurité. « Ceci est un rappel que les avions, comme les voitures, dépendent de systèmes informatiques en réseau de plus en plus complexes », a déclaré Savage. « Ils ne pourront pas échapper aux vulnérabilités qui vont avec ».

Source : Wired

[abgech]

Tiens, Boeing découvre la tolérance de panne.

[Romain Kroës]

N'est-il pas plus simple d'installer un indicateur d'incidence au tableau de bord, comme sur les A330 de la compagnie Air-France Europe (ex Air Inter) dans les années 1990. Certes, le 737 Max est particulièrement instable, mais le MCAS ne sait pas pourquoi il a été conçu, tandis que les pilotes savent, eux, ce qu'est un décrochage.

[mh-cbon]

> Un porte-parole de la société a déclaré qu'en enquêtant sur les affirmations d'IOActive, Boeing avait été jusqu'à mettre un véritable Boeing 787 en « flight mode » pour effectuer des tests. Une fois dans ce mode, les ingénieurs en sécurité de Boeing ont tenté d'exploiter les vulnérabilités exposées par Santamarta. Ils ont constaté qu'ils ne pouvaient pas mener une attaque avec succès.

les mêmes clampins qui laissent passer n'importe quoi dans le logiciel de bord font le boulot de vérifier leurs failles.

Autant demander à un aveugle de décrire son reflet.



> Santamarta admet qu'il n'a pas assez de visibilité sur les internes du 787

fonctionnement interne. mécanismes interne. ou bien encore entrailles.

> si une cyberattaque complète sur les systèmes les plus sensibles d'un avion reste loin d'être une menace matérielle..

materielle => sérieuse

> un attaquant pourrait potentiellement pivoter du système de divertissement

potentiellement détourné..

[Romain Kroës]

Cette affaire Boeing ne se réduit pas à un problème d'informatique. C'est toute une idéologie technologique qui est en cause. Vaut-il mieux confier des vies à l'intelligence qui peut se tromper, ou à un automatisme qui ne sait pas ce qu'on attend de lui?

[Stan Adkens]

L'immobilisation du 737 MAX est un tel désastre que les compagnies aériennes louent des 737-200 de 30 ans d'âge
Pour répondre à la demande croissante

Pendant que l’avionneur américain Boeing continue de chercher des solutions pour faire voler à nouveau son 737 Max, obligeant les compagnies aériennes à annuler plusieurs vols, ces dernières ont trouvé une solution palliative pour limiter leurs pertes et répondre à la demande croissante du transport aérien. Selon CNBC, elles essaient désespérément de louer des 737 disponibles pour combler les lacunes laissées par le MAX. L’interdiction de vol du 737 Max laisse tellement un vide que les compagnies aériennes, qui l’utilisaient pour leurs vols, louent des 737-200, un précédent avion du constructeur qui a été abandonné en 1988.

Pour rappel, le 737 Max est interdit de vol depuis plus de cinq mois parce que les régulateurs de l’aviation civile à l’échelle mondiale le jugent encore trop dangereux pour reprendre du service, après la survenue des deux catastrophes aériennes distinctes impliquant cet avion – le modèle le plus utilisé – qui ont couté la vie à 346 personnes. Les efforts pour résoudre les défaillances du système MCAS, un logiciel de contrôle de vol mis en cause dans les accidents mortels du Lion Air et d'Ethiopian Airlines, n’aboutissent toujours pas et, pire encore, d’autres problèmes apparaissent avec le temps.

Toutefois, Seattle Times a publié un rapport plus tôt ce mois selon lequel l’avionneur américain serait en train de modifier le logiciel du système de contrôle de vol automatisé de son 737 MAX afin qu’il utilise un deuxième ordinateur de contrôle de vol pour le rendre plus fiable. Le nouveau logiciel fera en sorte que le fonctionnement de l’ensemble du système de contrôle de vol de l’avion, y compris le MCAS, repose sur deux ordinateurs plutôt que sur un seul. La prise en charge des données fournies simultanément par ces deux ordinateurs de contrôle de vol, au lieu d’un seul, ajoutera la couche de sécurité liée à la redondance qui faisait jusqu’à lors cruellement défaut à ce système de vol. Toute chose qui pourrait militer en faveur du Max auprès des régulateurs.

Dans un article publié le samedi, CNBC a rapporté que Boeing teste actuellement un correctif logiciel pour les avions et s'attend à ce que les organismes de réglementation permettent la remise en service des avions au début du quatrième trimestre, même si cette date pourrait être repoussée davantage. Mais pour l’heure, les taux de location à court terme de certaines variantes plus anciennes des avions Boeing ont augmenté d'environ 40 % depuis l'échouement des Max, a rapporté CNBC. Les 737-200 les plus récents ont 31 ans, alors que l'avion lui-même a été introduit il y a 54 ans. Mais, selon un nouveau rapport du site Web Jalopnik.com, les compagnies aériennes sont prêtes à les accepter si cela signifie éviter les annulations d'itinéraire.

Les modèles les plus en demande, a déclaré Phil Seymour, consultant en aviation à CNBC, sont les 737-800. Cette variante est toujours en production aujourd'hui, ce qui le rend plus courant parmi les transporteurs aériens et plus facile à louer dans leurs opérations. Par contre, le 737-200 n'a été utilisé par aucune compagnie aérienne américaine depuis un certain temps, d’après le site Web Jalopnik.com. Southwest, une compagnie aérienne qui n’exploite que des 737 passagers, a abandonné ses 737-200 depuis 2005.

Toutefois, 38 de ses avions d’au moins 31 ans étaient encore en service dans le monde l'été dernier, selon le dernier recensement, dont les 10 exploités par la compagnie Nolinor Aviation, une compagnie basée au Québec au Canada. Ces avions demeurent encore dans la flotte de certaines compagnies à cause de certains avantages. Alors que les moteurs de l'avion sont moins efficaces et rendent le 737-200 indésirable pour la plupart des opérations de la ligne principale, les petites ouvertures du moteur permettent à cet avion d'être équipé d'un « kit de gravier » qui dévie les débris. Grâce à ce kit, le 737-200 peut atterrir sur des pistes d'atterrissage non pavées.

« Les 800 d'occasion sont comme de la poussière d'or en ce moment », a déclaré M. Seymour. Il estime que les taux de location pour 24 mois ou moins, pour certains vieux 737 ont augmenté de 40 % pour atteindre environ 300 000 dollars depuis que les organismes de réglementation ont cloué les 737 Max au sol en mars après deux accidents mortels à cinq mois d'intervalle.

Selon Michael Inglese, PDG de la société de leasing Aircastle, certains clients, dont les baux des anciens jets 737 arrivent à échéance, prolongent leurs contrats et l'augmentation de la demande a été un « modeste avantage » pour Boeing, qui n'a pas son modèle le plus demandé en vol depuis mars ni d'avions en commande. M. Inglese a dit que lorsque les avions ont été cloués au sol pour la première fois, les clients s'attendaient à ce que les avions soient remis en service rapidement, mais les transporteurs discutent maintenant de la façon de régler le problème de l'immobilisation prolongée. « Maintenant, j'ai l'impression qu'il y a un peu plus de paralysie décisionnelle », a-t-il dit. « Tout le monde se gratte la tête en ce moment ».

CNBC a rapporté que l'Association du transport aérien international, un groupe professionnel, a déclaré la semaine dernière que la demande de transport aérien a augmenté d'environ 5 % au premier semestre de 2019 par rapport à l'an dernier.

Southwest, l’une des compagnies qui exploitent exclusivement des 737, a averti les investisseurs le mois dernier que l'immobilisation du 737 Max l'obligerait à réduire sa capacité cette année au lieu de la croissance de 5 % prévue. Tandis que Gol Airlines a déclaré que les 737 plus anciens et moins économes en carburant qu'elle conserve dans sa flotte l'obligent à inclure une escale en République dominicaine sur ses nouvelles routes vers la Floride en provenance du Brésil. Ce qui rend la compagnie moins attractive pour les clients qui voyageraient sans escales sur la 737 Max.

C'est un petit sacrifice, cependant, pour s'assurer que d'autres accidents mortels ne se produisent pas avec les 737 Max jusqu’à ce que les régulateurs du monde entier autorisent à nouveau l’avion de voler. Espérons que ce sacrifice ne durera pas longtemps. Le New York Times a rapporté en juillet que Boeing pourrait suspendre la production du 737 Max en raison des répercussions économiques de la crise qui tend vers son sixième mois.

Source : CNBC

Et vous ?

Qu’en pensez-vous ?
Au pire vous préférez voler dans un 737 MAX ou un 737-200 ?


Lire aussi

Boeing travaillerait sur un nouveau système de contrôle de vol pour son 737 MAX, dont le fonctionnement repose sur deux ordinateurs plutôt qu'un seul
Le logiciel de vol du 737 Max est défectueux, car Boeing a confié le travail à des ingénieurs payés 9 $/h ? Oui, selon d'anciens employés du groupe
Boeing 737 MAX, pourquoi une mise à jour logicielle ne peut pas compenser son défaut de conception, Gregory Travis suggère une révision du design
Boeing pourrait suspendre la production du 737 Max, en raison des répercussions économiques de la crise qui dure depuis 5 mois

[Romain Kroës]

Refusant d'admettre l'absurdité de son système anti-stall, Boeing croit pouvoir rétablir la confiance du public en le faisant gérer par deux calculateurs au lieu d'un. Et si les deux calculateurs ne sont pas d'accord? Eh bien! le système est neutralisé. Et à qui revient alors la charge de décider de la manœuvre? Le pilote. Mais alors que les calculateurs reçoivent des informations d'incidence, le pilote, qui pourrait recouper plusieurs informations, n'y a pas droit. C'est une option qu'à la demande des constructeurs les autorités publiques démissionnaires ne rendent pas obligatoire. Mais Boeing n'est pas assuré de tirer profit de son obstination. Déjà quatre cent pilotes américains ont saisi la justice pour qu'elle oblige l'industriel de Seatle à publier son logiciel. Cela ne se règlera pas en septembre.

[el_slapper]

Outre le drame humain sur lequel je ne reviens pas, on constate là le drame économique des économies de bouts de chandelle. Pour gagner quelques semaines de mise sur le marché et quelques millions de coûts de mise au point, la compagnie va prendre des milliards de pertes dans la tronche(le chiffre exact est difficile à estimer).

Les 737-200 sont une conception des années 1960, ils sont vieillissants et surconsommateurs, ils ne pourront pas dépanner bien longtemps.

[abgech]

Ce n'est pas pour répondre directement au sujet, mais pour poser une question annexe.

Il y a 25-26 ans, j'ai travaillé dans des projets d'avionique (problèmes de vibrations).

Les contraintes étaient très fortes :
- Interdiction d'allocation dynamique de mémoire (ce qui sous-tend passablement d'autres restrictions),
- Utilisation d'un langage fortement typé.
- Le logiciel fonctionne sans système d'exploitation (le langage utilisé doit comporter en interne les "appels système").
- La documentation était plus volumineuse que le programme lui-même.

Il n'y avait pas de langage imposé, mais si le projet n'était pas en ADA, il avait peu de chance d'obtenir les certifications, de fait, ADA était imposé.

Quelqu'un peut-il me dire ce qu'il en est aujourd'hui ?