Deux chercheurs espagnols exposent les vulnérabilités critiques du système de sécurité ferroviaire ASFA

MADRID, 22 Août. (Portaltic/EP) –

Les chercheurs espagnols Gabriela García et David Meléndez ont récemment présenté à la conférence DEF CON 2024 à Las Vegas (États-Unis) des recherches qui exposent des vulnérabilités critiques du système de sécurité ferroviaire « Automatic Signal Announcement and Braking » (ASFA).

ASFA est un système d’aide à la conduite basé sur des balises et des récepteurs installés dans les trains, qui informe le conducteur de l’état du signal le plus proche dans son sens de marche afin qu’il puisse réagir aux informations reçues, par exemple en modifiant la vitesse. Si le conducteur ne réagit pas, il ne devrait pas le faire et, dans certains cas, le système peut prendre le contrôle du train et le freiner automatiquement.

Ce système a été mis en œuvre sur le réseau ferroviaire espagnol dans les années 1970 et continue d’être largement utilisé, principalement dans les sections où des technologies plus modernes n’ont pas encore été installées. Au cours de toutes ces années, il a reçu des mises à jour, mais comme le souligne la société de sécurité ESET, l’évolution technologique pose de nouveaux défis en termes de cybersécurité, surtout dans un environnement où les attaques contre les infrastructures critiques sont de plus en plus sophistiquées.

Dans ce contexte, Gabriela García et David Meléndez ont commencé il y a trois ans à explorer la viabilité d’exploiter d’éventuelles vulnérabilités du système ferroviaire espagnol dans le but de les corriger, et ils ont démontré qu’il est possible de reproduire une balise du système ASFA en utilisant uniquement le domaine public. informations et outils accessibles.

Les chercheurs ont réussi à reproduire une balise du système ASFA, capable d’être configurée pour différentes fonctions, notamment pour arrêter un train, bien qu’ils aient opté pour une version qui n’émet qu’un signal d’avertissement, comme ils l’ont montré dans le cadre de DEF CON 2024. .

Comme le souligne ESET dans un communiqué de presse, cette étude montre le risque potentiel que des acteurs malveillants puissent altérer la sécurité ferroviaire dans un pays, en soulignant le fait que le système ASFA continue d’être vulnérable, ce qui souligne la nécessité d’améliorer sa sécurité en Espagne et dans d’autres pays. pays qui utilisent des technologies similaires.

“Certains pourraient penser que les recherches de ce type peuvent être utilisées de manière malveillante par des attaquants, mais il a été prouvé à de nombreuses reprises que la sécurité par l’obscurité ne fonctionne pas, il est donc préférable que les chercheurs mettent en lumière ces vulnérabilités pour qu’elles soient résolu ou des mesures prises pour atténuer d’éventuelles attaques”, a ajouté le directeur de la recherche et de la sensibilisation d’ESET Espagne et l’un des participants à la DEF CON 2024, Josep Albors.