Close

Sécurité des liaisons satellites

Les liaisons satellites sont aujourd’hui considérées comme acquises dans beaucoup de pays, et de nombreux secteurs économiques en dépendent ou sont amenés à en dépendre : agriculture de précision, logistique, transactions financières, télévision, Internet… Du côté militaire, les satellites sont également employés dans les télécommunications, la surveillance, le guidage des munitions ou encore le contrôle des drones.  Les armées ont aussi été amenées à faire appel aux satellites civils pour bénéficier localement d’une plus grande capacité en bande passante : aujourd’hui, plus de 80% des besoins en capacité satellitaires du DoD sont par exemple couverts par les satellites de communication civils[i].

Si les grandes puissances possèdent depuis longtemps des capacités offensives avancées, l’essor des technologies de radio logicielle (SDN pour Software-Defined Radio) apporte son lot de nouvelles menaces et fait considérablement augmenter le risque de piratage des liaisons satellites par des acteurs non étatiques. Ces technologies permettent en effet de s’affranchir de l’acquisition de matériels spécialisés pour établir des communications radio sur diverses fréquences, ce qui rend impossible le contrôle de ces capacités. Ainsi, en 2009, lors d’une conférence BlackHat à Las Vegas, le chercheur en sécurité Adam Laurie fit la démonstration d’une écoute de flux transmis par satellite en s’armant simplement d’un matériel commun et accessible à tous[ii]. Une communauté SDR importante s’est développée depuis et il existe désormais de nombreux outils open-source très puissants à disposition de tous.

Face à l’émergence de nouvelles menaces, cette dépendance aux liaisons satellites conduit à s’intéresser à la résilience des fonctions que les satellites assurent.

Les cybermenaces aux liaisons satellitaires

Le brouillage (jamming)

L’attaquant utilise une antenne directionnelle pour produire un signal d’interférence qui surcharge le signal légitime, empêchant sa réception par le récepteur. Le brouillage peut être « flagrant »[iii] (le récepteur reçoit un signal audible) ou « subtil » (un signal d’amplitude opposée est envoyé par l’attaquant, sur la même fréquence et avec une puissance adaptée). Ce second type de brouillage reste très situationnel et complexe à mettre en œuvre. Les signaux descendants sont plus vulnérables au brouillage, la force du signal satellite étant relativement faible. A ce titre, les liaisons GPS sont particulièrement vulnérables et souvent attaquées, d’autant que l’on peut aujourd’hui obtenir pour 50 € des brouilleurs GPS alimentés sur allume-cigare capables de créer une bulle d’interférence d’une centaine de mètres de diamètre[iv].

Les satellites commerciaux sont également utilisés par certaines armées pour renforcer les capacités de géolocalisation. L’entreprise Iridium a ainsi lancé en 2016 un nouveau service permettant de renforcer le système GPS[v] et d’augmenter la résilience face aux risques de brouillage et d’usurpation grâce au système STL (Satellite Time and Location[vi]), qui nécessite l’utilisation de micropuces à intégrer aux dispositifs au sol, fait usage des satellites Iridium pour authentifier les signaux GPS. Ce renfort permet en outre de diminuer le risque de black-out si les satellites militaires venaient à être ciblés (d’autant que cette redondance diminue l’intérêt d’une telle démarche).

L’interception

On trouve assez facilement sur le web des tutoriels décrivant des techniques d’interception de transmissions par satellite à l’aide de matériel disponible dans le commerce, qu’il s’agisse de transmissions télévisuelles, de conversations téléphoniques ou de trafic internet. L’un des cas les plus connus d’écoute de liaison satellite implique le logiciel SkyGrabber, vendu par l’entreprise russe Sky Software au prix de 26$. Le logiciel a été utilisé en Irak et en Afghanistan pour capturer des flux vidéo non chiffrés de drones Predator.

Le piratage du satellite ou des stations de contrôle au sol

Le piratage correspond à l’utilisation non autorisée d’un satellite pour effectuer une transmission, ou à la prise de contrôle du système TT&C (Tracking, Telemetry & Control). Les données transmises peuvent être écoutées par des attaquants et modifiées en chemin afin de prendre le contrôle de tout ou partie de l’architecture satellitaire, permettant au pirate de manœuvrer voire détruire le satellite. La prise de contrôle d’un satellite est cependant particulièrement difficile car les mesures de sécurité protégeant les satellites sont très efficaces. Le risque se situerait davantage au niveau des stations de contrôle au sol, dont l’équipement de contrôle fait généralement emploi d’une informatique classique sous Linux. Cependant en 2008, des pirates ont pu prendre le contrôle d’un satellite d’observation terrestre de la NASA (Terra EOS) pendant plusieurs minutes. En 2014, des chercheurs d’IOActive ont en outre identifié des failles et des erreurs de conception au sein des micrologiciels des dispositifs SATCOM les plus populaires qui permettaient d’intercepter, manipuler, bloquer et même prendre le contrôle total des systèmes de communication localisés dans des stations de contrôle, des aéronefs et des vaisseaux[vii].

Le piratage des terminaux connectés au satellite

Ces menaces englobent une variété de méthodes permettant d’accéder aux connections réseaux satellitaires en vue de les exploiter, ce qui n’implique pas nécessairement d’interaction avec le satellite. Elles comprennent par exemple l’usurpation DNS, le vol de session TCP ou encore les attaques sur le protocole GRE[viii]. L’usurpation de signaux GPS reste le cas le plus courant d’exploitation de vulnérabilité de liaison satellitaire. Il s’agit d’envoyer de faux signaux GPS à des récepteurs GPS pour fausser la géolocalisation. Contrairement au brouillage, la cible ne réalise pas qu’elle est victime d’une attaque et peut ainsi penser qu’elle se situe en un lieu différent, à un moment différent. Ce type d’attaque est suspecté d’avoir eu un rôle dans la capture d’un drone américain par l’armée iranienne en 2011, et dans la série de collisions ayant impliqué des navires américains en Asie du Sud-Est ([ix].

De nombreuses techniques permettent cependant d’éviter de telles attaques, notamment l’’usage de plusieurs systèmes de géolocalisation, les discriminations de signaux basées sur l’amplitude, le moment et l’angle de réception, la polarisation ou encore une authentification cryptographique[x]

Un difficile maintien en conditions de sécurité

L’ajout et la mise à jour de fonctionnalités de sécurité sont particulièrement limités dans le domaine SATCOM. Le rétrofitage[xi] du matériel est inenvisageable en orbite, aussi seules les mises à jour au niveau logiciel sont possibles et celles-ci ne sont pas sans risque pour le satellite.

Les vulnérabilités régulièrement découvertes au sein des protocoles de chiffrement – ou dans leur application – renforce cette difficulté de maintien en conditions de sécurité, notamment pour les satellites les plus anciens. A ceci s’ajoute le fait que le chiffrement n’est pas systématiquement activé par les opérateurs de satellite quand bien même de tels systèmes sont à leur disposition, à l’exception des liaisons satellites civiles à disposition des militaires. Le chiffrement des données au sein des transmissions satellitaires représente en effet un coût important (implémentation, mise à jour, formation du personnel) et peut avoir un impact fort sur les performances du système notamment lorsqu’il s’agit d’intégrer de telles capacités à des satellites dont la conception n’incluait pas de telles fonctionnalités.

Conclusion

L’évolution de la menace a fait de la question de la sécurité des systèmes satellitaires une priorité au sein de la stratégie cyber des Etats. Si les entreprises civiles ont réalisé des efforts significatifs pour intégrer cette exigence dans le cycle de vie des produits satellitaires, le niveau de sécurité global reste limité par le cycle de renouvellement des satellites déjà déployés.

S’agissant du besoin des armées d’accroître la bande passante disponible, les satellites commerciaux les plus récents sont évidemment les plus à même d’en proposer à un niveau et à un coût satisfaisant, et ceux-ci sont censés être les plus à jour en termes de dispositifs de sécurisation de la fonction satellite dans son ensemble (selon la maturité de l’opérateur sur la question). Concernant les problématiques de géolocalisation, l’usage de constellations tierces (Galileo, Glonass, Compass mais également d’autres constellations civiles telles qu’Iridium), peut permettre de répondre aux risques d’usurpation de signaux. La réponse à la question de l’authentification de ces signaux passe cependant par l’ajout de nouvelles puces sur les dispositifs au sol.

Une réponse juridique aux menaces interétatiques d’attaques sur les liaisons satellites semble plus éloignée que jamais. Le code de conduite international pour les activités spatiales proposé par l’Union Européenne en 2007 et mis à jour pour la dernière fois en 2015, se voulait une base pour un futur traité d’interdiction d’armement dans l’espace mais est resté à ce jour à l’état de projet. Si l’administration Obama est revenue en arrière sur la politique de domination spatiale de l’administration Bush[xii] au profit d’une coopération multilatérale, les Etats-Unis se sont cependant opposés à la proposition sino-russe[xiii]  de traité d’exclusion d’armement dans l’espace[xiv] et l’administration Trump semble au contraire s’engager sur une militarisation de l’espace, avec notamment la création d’une force spatiale de l’armée distincte de l’US Air Force.

L’US Special Operations Command (USSOCOM) a pris la mesure sur la réduction continue de leur avantage issu de leurs capacités satellitaires qui se trouvent de plus en plus menacées. Si elle cherche à renforcer la sécurité des liaisons satellitaires traditionnelles, elle explore et développe des solutions alternatives, notamment les nano-satellites CubeSat et autre systèmes pseudo-satellitaires type drones (UAV) de haute altitude et haute endurance (HALE).

 

[i] http://www.defenseone.com/technology/2013/09/why-military-needs-commercial-satellite-technology/70836/

[ii] Avec un simple ordinateur, un décodeur satellite type Dreambox et grâce à des logiciels téléchargeables sur Internet.

[iii] Pour peu de posséder un dispositif adapté. L’utilisateur d’un téléphone satellitaire civil victime d’un brouillage n’aura pour seule information que le réseau semble être hors de portée.

[iv] http://www.militaryaerospace.com/articles/2016/06/gps-jamming-satellite-navigation.html

[v] http://www.reuters.com/article/us-iridium-gps/iridium-launches-timing-location-service-as-gps-back-up-idUSKCN0YE1HZ

[vi] http://investor.iridium.com/releasedetail.cfm?releaseid=972324

[vii] Les produits concernés par l’étude d’IOActive étant produits ou vendus par Harris, Hughes Network Systems, Cobham, Thuraya Telecommunications, Japan Radio Company et Iridium Communications.

[viii] https://fr.wikipedia.org/wiki/Generic_Routing_Encapsulation

[ix] https://www.japantimes.co.jp/news/2017/08/23/asia-pacific/experts-doubt-human-error-four-times-row-others-call-gps-hack-unlikely/

[x] A l’instar du système STL précédemment mentionné.

[xi] Le rétrofitage consiste à ajouter, modifier ou restaurer des fonctions technologiques sur des systèmes vieillissants.

[xii] http://www.nytimes.com/2010/06/29/science/space/29orbit.html

[xiii] http://freebeacon.com/national-security/u-s-opposes-new-draft-treaty-from-china-and-russia-banning-space-weapons/