Close

L’utilisation du smartphone en milieu militaire

1. Le contexte

Selon le baromètre annuel du numérique publié en 2017 par l’ARCEP en collaboration avec l’Agence du Numérique, près de 73% des Français, âgés de 12 ans ou plus, sont équipés d’un smartphone[1]. La multiplication des fonctionnalités et des applications ont permis au smartphone de devenir notre « boîte à outils » du quotidien.

Omniprésent dans la société civile, le smartphone et son évolution intéresse de plus en plus les armées. Cette volonté d’intégration des technologies civiles au militaire est d’ailleurs au cœur de la récente Revue Stratégique de Défense et de Sécurité nationale, qui souhaite « mieux préparer les prochaines générations de systèmes et d’équipements »[2]. Pourtant, l’idée d’utiliser des smartphones en milieu militaire n’est pas nouvelle. Certaines forces armées étrangères ont ainsi développé plusieurs projets. Par exemple, en 2017, Motorola annonçait le lancement de sa première ligne de smartphones à usage strictement militaire[3], en collaboration avec le ministère de la Défense israélien. Ces téléphones portables peuvent supporter les réseaux 4G civils comme les réseaux militaires et permettre l’envoi de fichiers audio ou vidéo de manière sécurisée grâce au chiffrement.

En France, la société Atos a donné la première impulsion avec la solution Auxylium, co-développée avec la Direction Générale de l’Armement, intégrée dans un smartphone fonctionnant avec Android. Cette solution permet d’abord une communication chiffrée applicable aussi bien sur les réseaux de téléphonie mobile civils que militaires, permettant ainsi d’éviter les risques de saturation. Elle propose également une fonction de géolocalisation des différentes unités sur une cartographie. Elle a d’abord été déployée dans le cadre de l’opération Sentinelle mais a vocation à se développer plus amplement au sein des armées[4].

Avant la création de smartphones dédiés à l’usage militaire, plusieurs sociétés du secteur civil ont développé des applications mobiles. De nombreuses applications destinées aux personnels militaires sont déjà disponibles aux États-Unis, tant sous Android qu’IOS. Il s’agit plus particulièrement d’application GPS (Tactical NAV[5]), d’aide aux premiers secours (Army First Aid[6]) ou encore d’applications permettant au service support des armées de calculer les modalités logistiques pour acheminer, à une localisation donnée, une quantité précise de ressources alimentaires via l’application (CCALC-I par Northrop Grumman[7]).

Intégrer le smartphone sur le champ de bataille semble présenter de nombreux intérêts :

  • La fonction « boite à outils » du smartphone permet de disposer de plusieurs fonctionnalités réunies sur un seul support;
  • Les capteurs intégrés ainsi comme la photo et la vidéo font du smartphone un outil de renseignement efficace ;
  • La rapidité et la simplicité d’utilisation.

Mais subsistent encore quelques zones d’ombre : qu’en est-il de la question de la connectivité en milieu dégradé ? Comment cloisonner l’usage professionnel de l’usage personnel du smartphone?

2. Les défis technologiques

Si l’utilisation du smartphone en milieu hostile constitue une opportunité réelle pour les armées en termes de baisse des coûts et de gain en agilité, son usage non-maîtrisé accroit cependant leur surface de risques. Les vulnérabilités liées aux réseaux de communication, aux systèmes hardwares employés et aux applications utilisées constituent les principales menaces pouvant mettre en péril la sécurité et la confidentialité des opérations.

Risques réseaux : la mise en place d’un réseau de défense de type LTE représente un avantage significatif pour les armées, car il permet le déploiement rapide de moyens de communication sur un théâtre d’opération tout en répondant aux impératifs de sécurité associés. Cependant, il est également susceptible de créer des vulnérabilités de taille : sensibilité particulière au brouillage, absence de protection contre la menace IEM (impulsion électromagnétique pouvant détruire des appareils électroniques et brouiller les télécommunications) et instabilité du réseau lui-même. Par ailleurs, l’utilisation de la 4G par les personnels militaires les rend également vulnérables au piratage des smartphones. En 2017, 4000 soldats de l’OTAN ont ainsi été victime d’une attaque massive russe qui, à l’aide de drones spécialisés et d’antennes portables, ont pu accéder aux appareils mobiles personnels des militaires.[8] Ce type d’opération peut révéler des informations sensibles telles que la localisation et le nombre de soldats en opération mais peut aussi être la porte ouverte à la compromission d’un réseau dans son ensemble.

Risques hardwares : En dévoilant fin 2017 son application mobile capable de transformer un smartphone Android en outil anti-surveillance, Edward Snowden a mis en évidence certaines vulnérabilités inhérentes aux smartphones. L’outil se sert en effet de tous les capteurs présents dans le smartphone, du micro à la caméra, pour identifier une potentielle menace à la vie privée, en ligne comme dans la vie physique. Ces capteurs enregistrent et transmettent donc les données personnelles de son utilisateur, et deviennent ainsi une porte d’entrée pour de potentiels hackers car ils restent facilement manipulables par des applications et aisément contrôlable à distance.[9] En ce sens, le gouvernement américain a récemment interdit l’usage des smartphones Huawei et ZTE sur les bases militaires américaines.[10]

Risques applications : Les applications représentent également une menace grandissante. En effet, les sociétés développent des applications à un rythme effréné pour répondre aux besoins commerciaux, faisant parfois abstraction des mesures de sécurité. Parmi les organisations qui développent des applications mobiles, 83% externalisent le développement et 79% intègrent des librairies tierces. Lorsque les développements externalisés ne sont pas soumis à des tests, il arrive régulièrement que les applications concernées présentent des comportements non désirés, et divulguent des données sans que le distributeur n’en soit même conscient. Les armées en ont déjà payé le prix. L’armée française a mis en garde ses soldats face à l’utilisation de l’application de fitness Strava, dont l’option de géolocalisation pouvait révéler l’emplacement d’infrastructures militaires secrètes.[11] L’armée israélienne a également été visée par une cyberattaque du Hamas utilisant des applications liées au Mondial 2018 pour pénétrer les smartphones des militaires israéliens.[12]

Quelles mesures de prévention adopter ?

Face à ce constat et les risques pesant sur l’utilisation des smartphones en milieu militaire, plusieurs mesures peuvent être prises en amont, afin de protéger au mieux ces données sensibles.

  • Sensibiliser le personnel

Les détenteurs de smartphones sont les premiers concernés par l’utilisation qui en est faite, et par conséquent, de la sécurité des données qu’ils contiennent. A l’instar de l’armée américaine[13], l’une des premières mesures de prévention consiste à sensibiliser les personnels par l’édiction de règles de sécurité afin de cloisonner l’utilisation personnelle de l’utilisation professionnelle du smartphone. A ce titre, l’ANSSI a publié en juillet 2015 une notice technique contenant des recommandations de sécurité sur l’utilisation des smartphones[14], et notamment sur la cohabitation entre usage privé et usage professionnel : interdire l’installation automatique d’applications, désactiver l’association automatique aux points d’accès Wi-Fi, utiliser des smartphones dédiés à l’usage professionnel…

  • Renforcer la sécurité des systèmes d’exploitation et la création de solutions spécifiques

Aujourd’hui, la question se pose essentiellement pour les deux leaders du marché européen : Android et iOS. En France, Android représente 80% de part de marchés devant iOS avec 19.5%. La diversité des menaces actuelles oblige à prendre en compte le niveau de sécurité par défaut de ces OS, mais aussi leur capacité de résilience. Après s’être arrêté sur le choix du Samsung Galaxy Note 4, le ministère de la Défense britannique a finalement annoncé l’utilisation d’iPhone 7s spécialement adaptés au secteur militaire, le Samsung Galaxy Note présentant trop de failles techniques susceptibles d’être exploitées. iOS serait donc plus sécurisé, mais ce constat reste à mettre en perspective car plus un smartphone est utilisé, plus il intéresse les cyber-attaquants et intensifie leur recherche dans l’exploitation de failles.

Au-delà d’une sécurisation des OS, la création d’applications dédiées permet également de garantir un niveau supplémentaire de protection des données contenues dans le smartphone. Afin de pouvoir traiter des informations sensibles à distance, une solution ultra sécurisée a été conçue par Thalès, l’application CITADEL. Elle contient une messagerie et une plateforme d’appel et de partage de documents, chiffrées de bout en bout. De plus, les données recueillies sont uniquement stockées en France. L’application, disponible sur Android et iOS, est aujourd’hui utilisée au plus haut niveau de l’Etat français et dans 50 pays membres de l’OTAN.

  • Développer des terminaux spécifiques

C’est notamment la position adoptée par la Russie. Précédemment, la solution utilisée par l’armée russe consistait en l’emploi de deux cartes SIM distinctes : l’une servant à connecter l’utilisateur au réseau classique, et la seconde permettant de chiffrer les informations sur les lignes de communications. Cependant, le support et les composants fabriqués à l’étranger pouvaient poser de véritables problèmes de sécurité pour les informations contenues. Le ministère de la défense a alors développé son propre portable à usage exclusivement militaire : l’Atlas M-663S, strictement conçu en Russie, composé de sa propre méthode de chiffrement, OS et logiciels. Cependant une fabrication entièrement souveraine reste relativement complexe à mettre en place. Vérifier et tester les composants fabriqués à l’étranger permet déjà de prévenir le risque de cyberattaques.

Les besoins en sécurité ne cessent d’augmenter au rythme des évolutions technologiques. De plus, la tendance grandissante à l’hyperconnectivité rendrait difficile la maîtrise d’un réseau ultra sécurisé par les opérateurs civils. L’une des solutions serait d’envisager la création d’un réseau LTE de sécurité de niveau européen. Il permettrait d’avoir un réseau commun sécurisé mais aussi de rallier les États membres à un projet fédérateur, dans la continuité d’une Europe de la Défense.

[1] https://www.arcep.fr/uploads/tx_gspublication/barometre_du_numerique-2017-271117.pdf, page8

[2] Revue stratégique de défense et de sécurité nationale (2017), page 71, paragraphe 232

[3]https://www.israelvalley.com/2018/07/cisrael-smartphone-militaire-youtube-de-tsahal

[4]https://www.defense.gouv.fr/terre/actu-terre/auxylium-battlefield-jusqu-au-combattant-debarque

[5] http://soldiersystems.net/tag/tactical-nav/

[6] http://doubledogstudios.com/apps/armyfirstaid/

[7] http://www.globenewswire.com/newsarchive/noc/press/pages/news_releases.html?d=10006268

[8] https://siecledigital.fr/2017/10/05/russie-pirate-smartphones-soldats-otan/

[9] http://www.lefigaro.fr/secteur/high-tech/2018/01/03/32001-20180103ARTFIG00119-haven-l-appli-de-snowden-pour-transformer-son-smartphone-en-outil-de-surveillance.php

[10] https://www.zdnet.fr/actualites/les-smartphones-huawei-et-zte-bannis-des-bases-militaires-us-39867816.htm

[11] https://www.numerama.com/politique/325474-strava-ce-que-preconise-larmee-francaise-sur-la-geolocalisation.html

[12] http://www.lalibre.be/economie/digital/des-logiciels-espions-dans-les-smartphones-de-l-armee-israelienne-5b3df09e5532692547e790f6

[13] http://archive.defense.gov/news/newsarticle.aspx?id=14689

[14] https://www.ssi.gouv.fr/uploads/2013/05/NP_Ordiphones_NoteTech_v1.2.pdf