| |
x
|
La
falsification possible ? OUI |
UNE FALSIFICATION DES
BANDES DFDR ET CVR EST POSSIBLE TECHNIQUEMENT
Dans
ce qui précède, nous avons passé en revue de façon non exhaustive les
incohérences de la procédure d'enquête et les multiples anomalies des
enregistreurs par rapport à la trajectoire naturelle d'un AirbusA.320.
Cette convergence de suspicions sur l'intégrité des enregistrements CVR et
DFDR aboutit à la question fondamentale: est-il possible de trafiquer les
bandes issues de ces fameuses boites noires ?
Dans
une fiche technique du 29 septembre 1988, M. CHEMINAL, Chef de Service des
Méthodes et Moyens d'Essais du CEV de Brétigny a étudié les possibilités
matérielles de trafiquer les bandes. Nous publions cette étude in extenso.
On
s'apercevra à la lecture de ce texte que M. CHEMINAL n'exclut pas la
possibilité technique de cette manipulation, tout en soulevant des
difficultés qui ne paraissent pas incontournables, si l'on avait décidé de
s'en donner les moyens.
Eu
égard aux enjeux de cette affaire et à tous les doutes existants sur
l'authenticité et l'intégrité des enregistrements CVR et DFDR, rien
n'interdit d'affirmer que ces moyens ont été cherchés et trouvés.
Parlons
déontologie
A la
fin de son étude, M. CHEMINAL soulève le problème de Ia déontologie qui
aurait selon lui interdit toute manipulation correctrice des bandes.
Il
est certes détestable que des professionnels de l'aéronautique en soient
venus à mettre en cause l'honnêteté intellectuelle des uns et des autres.
Cet
état de fait est la conséquence d'une accumulation incroyable de "BOURDES"
par les responsables de l'enquête. Cette accumulation d'erreurs retire tout
crédit aux conclusions qui ont été avancées sur les causes de l'accident, et
il semble invraisemblable qu'elle ne soit due qu'au hasard.
|
Si l’on veut être crédible lorsque l'on
parle de déontologie,
encore faut-il être irréprochable |
Rappelons une évidence: il n'y
aurait pas eu d'affaire HABSHEIM, telle qu'elle existe actuellement si
-entre autres choses-:
- les enregistreurs avaient
été dépouillés dans les règles de l'art, des règlements aéronautiques et
du Code de Procédure Pénale.
- Des scellés irréfutables
avaient été placés sur ces "boites noires" dès leur saisie sur l'avion.
- Ces scellés avaient été
brisés et refaits après usage des enregistreurs en présence dès deux
pilotes. Ceci est la règle normale s'ils sont survivants et leur présence
était possible dès la nuit de l'accident, puisque le CDB était indemne et
le copilote très légèrement blessé.
- Ces enregistreurs et leur
contenu avaient été placés ensuite avec leurs scellés au Tribunal après
usage
Certes, si les résultats de
tels enregistreurs, qui auraient été incontestables, avaient mis en cause
l'avion, il y aurait eu néanmoins une affaire HABSHEIM. Mais il en aurait
été mieux ainsi, car avec la procédure suivie, on a peine à croire
. que l'on soit en présence des enregistrements authentiques, avec le
scandale que cela implique
. que l’avion soit totalement hors de cause;
Un seul désastre aurait
suffi !
|
CENTRE D'ESSAIS
EN VOL
BASE D'ESSAIS DE BRETIGNY S/ORGE BRETIGNY,
le 29 septembre 1988
SERVICE DES MÉTHODES ET MOYENS
D'ESSAIS
FICHE
TECHNIQUE
0 B J E T
: Réflexions sur les possibilités de modifications des informations
inscrites sur une bande magnétique d’accident.
Des
déclarations diffusées par les médias, à propos de l'accident de l'A
320 de HABSHEIM, et mettant en doute la véracité des informations
diffusées par les services officiels ont amené le C.E.V. à
s'interroger sur les possibilités de falsification des bandes
magnétiques issues des enregistreurs de paramètres.
Il
va de soi que toute fraude sur les résultats seulement, sans
modification de la bande d’origine, s’exposerait à un démenti
retentissant puisque d’autres centres sont à même d’exploiter une
telle bande magnétique, y compris à l’étranger, (Etats-Unis et Grande
Bretagne notamment).
Notons tout d'abord que l'information se trouve
sous forme numérique symboliquement représentée par une succession de
0 et de 1 et physiquement constituée par une succession d'états
magnétiques N et S dus à l'induction magnétique rémanente sur la
couche sensible de la bande. L'espace occupé sur une piste de la bande
magnétique (largeur I mm environ) par un bit d'information est
d'environ 15 microns (0,015 mm) et ne permet pas de faire un
changement ponctuel de bit pour modifier la valeur d'un paramètre . Il
convient d'ajouter que la correspondance entre les états logiques 0 et
1 et les états magnétiques associés n'est pas aussi simple qu'il y
parait car, pour des raisons de bande passante du canal d'information
constitué par l'ensemble tête magnétique/bande magnétique, le codage
utilisé est le biphasé et de ce fait la séquence magnétique qui code
un état logique 0 ou 1 dépend des états logiques adjacents. Enfin la
difficulté est encore accrue du fait que le message entier est une
succession de bits jointifs et que rien ne permet de distinguer le
début d'un paramètre. Pour parvenir à isoler un paramètre il faut
réaliser une dé commutation du message qui s'obtient par lecture en
continu et traitement électronique du message qui permet de repérer
des mots à valeur fixe et récurrence périodique (les mots de
synchronisation), les mots mesure étant repérés derrière ces mots
particulier: par leur rang, tous les mots mesure ayant même longueur
(12 bits) et représentant généralement la valeur instantanée d'un
paramètre. La lecture d'une bande magnétique ayant par la nature des
choses un caractère dynamique (défilement de la bande devant une tête
de lecture) il est quasi impossible de localiser physiquement un bit
donné sur la bande.
On peut donc affirmer qu'aujourd'hui il est
impossible de modifier la valeur d'un paramètre dans un message sur la
bande d'origine. Il serait seulement possible de détruire localement
le message par application d'un fort champ magnétique continu sur une
zone de la bande ou par superposition d'un signal similaire, sur une
partie de piste enregistrée, à l'aide d'un système de défilement et
d'une tête magnétique d'enregistrement adéquate.
Si la modification ponctuelle n'est pas possible
il est par contre techniquement envisageable de substituer au message
d'origine un nouveau message. Cette opération se traduirait
automatiquement par une perte de synchronisation au début et à la fin
du nouveau message mais pourrait passer pour normale s'il s'agit de
l'enregistrement d'un vol complet car l'arrêt du défilement de
l'enregistreur entre 2 vols entraîne forcément une désynchronisation.
Cependant
avant d'envisager de falsifier un message il faudrait s'assurer que
cela est bien "nécessaire" et donc lire la bande et analyser les
résultats. Pour effectuer une lecture, la bande provenant d'un avion
accidenté est systématiquement démontée, même si extérieurement
l'enregistreur parait en état de fonctionnement, par mesure de
précaution. Dans le cas de l'enregistreur FAIRCHILD F .800 de l'A 320
la bande étant enroulée en boucle sans fin sur une platine spéciale,
son démontage nécessite de la couper, la coupure correspondant à la
fin du dernier vol.
Supposons
qu'après lecture une falsification soit décidée pour masquer une
défaillance quelconque en générant un message correspondant à une
partie ou à la totalité du dernier vol. Il faudrait alors résoudre 2
problèmes: Comment créer le nouveau message et comment
l'enregistrer. Ce dernier point est sans doute le plus simple mais
n'est pas évident. En effet le seul équipement disponible pour
l'enregistrement est l'enregistreur de bord et il faudrait alors, soit
reconditionner la bande sur un enregistreur opérationnel ce qui n'est
possible que chez l'équipementier (et encore avec réserves car il
n'est jamais monté que de la bande neuve et l'on doit disposer pour le
chargement d'une longueur supérieure à celle qui constituera la boucle
sans fin)) soit utiliser une bande neuve ce qui serait sûrement plus
confortable. Dans ce dernier cas, après enregistrement du message
dont nous examinerons plus loin les difficultés de création, il
faudrait encore recopier tous les vols précédents issus de la bande
originale car l'autonomie est de 25 heures. Le matériel n'étant pas
prévu pour cette fonction il faudrait réaliser un dispositif
électronique relativement simple dont l'étude, la réalisation et la
mise au point ne devrait pas excéder 1 semaine.
La difficulté principale résiderait dans la
création du message de substitution. La procédure la plus simple
consisterait à monter un enregistreur muni d'une bande neuve sur un
avion similaire et à refaire le vol ce qui serait trivial dans le cas
d'un accident. Sinon il faudrait recréer le message à partir de
paramètres simulés. Cette opération, intellectuellement envisageable,
conduirait à des développements informatiques lourds, longs et coûteux
qui représentent de nombreux hommes-mois ainsi qu’à une réalisation
électronique complémentaire propre à chaque couple avion-enregistreur
(le choix de l'enregistreur sur un avion dépend largement de la
compagnie utilisatrice). Dans ce travail d'élaboration d'un vol fictif
de substitution il faudrait aussi tenir compte de tous les éléments
invariables tels que :
- les horaires de mise en route, de décollage,
d'accident
- la cap de la piste
- l'altitude de la piste
- la pression atmosphérique du lieu
- cohérence avec les contacts radio
- cohérence avec les contacts radar
- cohérence
avec les témoignages (connus et à venir)
tous ces éléments n'étant pas forcément
disponibles au moment de l'exploitation. Enfin il faudrait tenir
compte de la cohérence des paramètres entre eux qui, par les lois de
la mécanique du vol, met en jeu un très grand nombre d'équations
indépendantes (l'Airbus A 320 enregistre 209 paramètres ou tops sur
son enregistreur d'accident).
En conclusion si l'on ne prend en compte que les
contraintes technique, financière et temporelle il paraît aujourd'hui
tout à fait irréaliste de tenter de modifier une bande d'enregistreur
d'accident. Je n'ai pas évoqué l'aspect déontologique du problème qui
constituerait certainement un dernier rempart très difficilement
franchissable.
En tout état de cause la fourniture rapide de
résultats validés représente une excellente garantie contre toute
tentative de tricherie.
Le Chef du Service des MÉTHODES
et MOYENS d'ESSAIS de BRETIGNY
A.
CHEMINAL
|
COMMENTAIRES DU SNPL SUR LA FICHE DU CEV
Cette fiche de M. CHEMINAL, Chef
du Service Méthodes et Moyens d'Essais du CEV confirme que la falsification
d'un DFDR est une chose possible.
Bande originale DFDR trafiquée ?
Certainement pas.
On conviendra avec le rédacteur
que la falsification des bits sur la bande originale est quasi impossible,
sauf à apparaître grossièrement.
Encore faudrait-il disposer à
coup sûr de la bande originale. Ce qui n'a jamais été établi avec la
certitude que l'on doit attendre d'une pièce à conviction dans une affaire
où il y a des victimes.
Substituer à l'original une bande
trafiquée: oui, c'est possible.
M. CHEMINAL soulève les
problèmes de la création de la bande nouvelle et de son enregistrement.
Au
sujet de l’enregistrement
L'expert BOURGEOIS indique dans
son rapport du 6 juin 1988 (Cf 4-2) que la "bande pourrait être recopiée
dans n'importe quel centre équipé du matériel nécessaire". Est-on sûr qu'un
tel centre n'existe pas dans le Sud Ouest de la France !
Si on imagine une "manip"
consistant à recréer une bande modifiée du vol, 25 minutes y compris la mise
en route et le roulage, on conviendra qu'il est aisé de la coller à la bande
correspondant aux paramètres enregistrés dans les quelques 24 heures
précédentes. Il suffit ensuite de recopier cette bande pour que la
coupure physique de la bande disparaisse. Il ne reste pas non plus de trace
informatique, car l'alimentation du DFDR est coupée sur A.320 cinq
minutes après l'arrêt des réacteurs. Entre deux vols, tout est permis sans
traces.
Donc, si l'on dispose d'un moyen
de reproduction, il est aisé de substituer un morceau de bande à un
autre
|
M. CHEMINAL nous
affirme benoîtement qu'il faudrait environ une semaine
pour réaliser le dispositif électronique nécessaire à cette
manipulation.
Peut-on faire remarquer qu'il s'est écoulé dix jours entre
l'accident
et la date de restitution à la justice des enregistreurs, dont une
semaine
de refus d'obtempérer à une décision judiciaire. |
Remarquons également que ce
problème de copie n'en est pas un, puisque plusieurs copies ont été
effectuées, dont une pour Air France.
Au sujet de la création d'une bande
modifiée par rapport à l'original
M. CHEMINAL reconnaît que cette
création de paramètres simulés est « intellectuellement envisageable, mais
conduirait à des développements informatiques lourds, longs et coûteux. »
On notera que soulever ce
problème du coût de l'opération lorsque l'on connaît les enjeux de cette
affaire relève d'une candeur... attendrissante! Ou peu crédible !
Quant à la difficulté de
réalisation, M. CHEMINAL donne des affirmations, là où il faudrait une
démonstration.
Si effectivement une opération informatique devait être effectuée en partant
de rien, cela prendrait du temps et des moyens. Mais qu'en est- il si
cette opération est réalisée à partir des moyens d'essais qui ont servi à
mettre au point les commandes de vol du A.320 ?
Pour apprécier cette
possibilité, on jugera aux meilleures sources à la lecture ci-dessous
d'un extrait de la revue de l' Aérospatiale de février 1990.
«Début 84
fut mis au point un autre outil dénommé "simulateur de développement
A.320" mis en place dès que les résultats d'une importante campagne
d'essais en soufflerie permirent d'élaborer un modèle aérodynamique
prévisionnel spécifique à l'A.320. L'ensemble du système commandes de
vol fut simulé par le logiciel; cette solution a permis une grande
souplesse d'adaptation aux multiples itérations résultant des essais
effectués lors de la campagne de mise au point initiale des lois de
pilotage.
Enfin, vinrent trois simulateurs
dits "d'intégration ". Mis en service un an avant le
premier vol, ils supplantèrent progressivement les deux premiers puisqu'ils
incorporaient un très grand nombre d'éléments réels de l'avion dont les
calculateurs (dits aussi boites noires). Comme leur nom l'indique, ils
furent essentiellement destinés à tester le fonctionnement,
l'intégration, la compatibilité, le processus de dialogue de l'ensemble des
calculateurs dans un univers proche de celui de l'avion réel. L'un
deux peut même être couplé au "banc général" baptisé "Iron bird", fidèle
réplique à l'échelle 1 de l'ensemble des circuits de
génération et de distribution des énergies hydrauliques et électriques de
l'avion. Pour ce qui concerne les commandes de vol, ce
banc général incorpore même les servocommandes
réelles...»
|
Que ne peut-on faire avec un tel engin ! |
Manipulation du CVR : chose très aisée
Le CVR est une bande magnétique sans fin
de 30 minutes (plutôt entre 31 et 32).
On conçoit que de façon encore
plus facile que pour le DFDR, il est aisé de couper un morceau pour le
remplacer par un autre moins compromettant. Ou ne pas le remplacer en
raccourcissant la bande.
La précaution à prendre est de
faire les coupes sans remettre en cause la synchronisation du CVR avec le
DFDR et les communications enregistrées à la tour de contrôle de Mulhouse.
Ensuite, c'est un jeu d'enfant
de recopier cette bande recollée, pour la faire apparaître comme une bande
sans coupures.
Seule une analyse
spectrographique permet de mettre en évidence ces coupures, si elles ne sont
pas trop habilement dissimulées.
Cette analyse spectrographique a
été réalisée chez CFM, constructeur des moteurs et donc juge et partie.
Aucune garantie d'authenticité n'est amenée de la bande étudiée. Le SNPL
s'est vu refuser la transmission de cette expertise.
Au sujet de la synchronisation
DFDR - CVR
Il est singulier qu'il ait fallu
plus d'un an à la Commission d'Enquête Administrative pour établir un
minutage définitif du CVR !
Il semblerait évident à
tout observateur de bon sens que le DFDR et le CVR ayant des systèmes
d'enregistrements différents, on ne doit pas avoir de mal à :
- établir le minutage de
chacun.
- constater qu'ils sont
en phase.
|
|
