Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 112

doctrine
une précision affinée, et une indépendance technologique et politique
vis-à-vis de systèmes qui sont sous le
contrôle des États-Unis, de la Russie et
de la Chine.
Au vu des conséquences de telles
attaques, les États, -dans un cadre
interministériel-, comme le secteur
privé ont sérieusement à s'en préoccuper. L'urgence tient aussi à la possibilité
pour les attaquants : cybercriminels,
terroristes, pirates, etc., de disposer de
matériels peu coûteux à la portée de
tous et de logiciels, déjà disponibles
en open source et bientôt exécutables
par quiconque après téléchargement
libre sur l'Internet, sinon sur un « darknet », constituant ainsi un risque majeur.

Notes
(1)

(2)

Etude réalisée en 2010, voir G.N. (2011), p. 12, et
D. Guinier et D. Schoenher (2011).

Compte tenu de la portée du GPS
et de ses homologues dans de très
nombreux secteurs et applications
dans le monde, il s'agit de mener une
veille active autant sur les vulnérabilités des nouveaux composants que sur
les menaces naissantes pour s'assurer
des mesures les plus appropriées à la
réduction du risque et à l'amélioration
de la sécurité. Dans une posture proactive coordonnée, il pourrait aussi être
envisagé que des équipes de recherche
dédiées s'opposent, les unes en attaque,
pour s'employer à trouver les failles et
à anticiper de futures menaces, et les
autres en défense, pour développer des
stratégies de contremesures.

(3)

GPS, pour Global Positioning System. Si le
système GPS, du Département de la défense
des états-Unis était le seul en fonction par le
passé, d'autres systèmes, comme GLONASS
de la Russie, BeiDou de la Chine, et Galileo de
l'Europe, sont maintenant également reconnus
comme systèmes satellitaires de navigation
globaux (GNSS).

(7)

Codé sur 8.1012 bits, de période 267 jours, selon
un schéma non connu à l'avance et très souvent
chiffré.

En outre, vu les conséquences potentielles engendrées par le terrorisme
et la piraterie, les sanctions prévues
pour de telles attaques devraient
être revues en considérant la cyberpiraterie de façon moins asymétrique, pour la distinguer clairement
d'un « piratage » informatique.

(8)

La précision moyenne du GPS est de 3 à 8 m
pour l'usage civil (SPS : Standard Positioning
Service), tandis que celle du GPS différentiel
(DGPS) est inférieure à 1 m, en appliquant des
corrections à partir de mesures par rapport à
un récepteur fixe de position connue, comparativement à 1 à 3 m pour l'usage militaire (PPS :
Precise Positioning Service),

Daniel GUINIER
Docteur ès Sciences
Certifications CISSP, ISSMP, ISSAP en
sécurité des SI et MBCI en continuité et
gestion des crises
Expert en cybercriminalité et crimes
financiers près la Cour pénale internationale de La Haye

(4)

Voir T. E. Humphreys et al. (2008), T. E. Humphreys
(2013) et M. L. Psiaki et T.E. Humphreys (2016).

(5)

Réalisée avec l'autorisation et du propriétaire
du navire, un homme d'affaires britannique.
Il s'agissait du « White Rose of Drachs », un
luxueux yacht de 65 mètres estimé à 80 millions
de dollars, naviguant en mer Méditerranée.

(6)

(9)

Codé sur 1 023 bits, de période 1 ms, selon
une suite binaire pseudo-aléatoire répétitive et
reproductible par ses caractéristiques et tables
publiées.

La modulation de phase BPSK (Binary Phase
Shift Keying), permet de véhiculer les données
constituées de suites de 2 valeurs binaires,
et convient aux conditions de transmission
difficiles.

(10)

Constitués de 5 sous-trames de 10 mots de 30
bits, à 50 bits/s.

(11)

L'opération nécessite 3 satellites pour réduire
l'intersection à 2 points et un quatrième pour
la correction pour la ramener à un seul point et
connaître l'altitude.

(12)

Pour cela, 5 stations, coordonnées par une base
de la US Air Force du Colorado, sont réparties
autour du globe pour que chaque satellite GPS
puisse être constamment contrôlé par au moins
une station.

(13)

112

Les secteurs d'activités d'importance vitale
(SAIV), sont définis par l'Art. R 1332-2 du Code
de la défense, comme ayant trait à la production
et la distribution de biens ou de services indispensables aux besoins essentiels pour la vie des
populations, à l'exercice de l'autorité de l'État,
au fonctionnement de l'économie, au maintien
du potentiel de défense, ou à la sécurité de la
Nation, ou pouvant présenter un danger grave
pour la population. A son tour, un opérateur
d'importance vitale (OIV), est défini par l'Art. R
1332-1 du Code de la défense, comme une organisation qui exerce des activités comprises dans
un secteur d'activités d'importance vitale, ou qui
gère ou utilise au titre de cette activité un ou des
établissements ou ouvrages, une ou des installations dont le dommage ou l'indisponibilité ou
la destruction par suite d'un acte de malveillance, de sabotage ou de terrorisme risquerait,
directement ou indirectement, d'obérer gravement le potentiel de guerre ou économique, la
sécurité ou la capacité de survie de la Nation,
ou de mettre gravement en cause la santé ou la
vie de la population.

Du fait que les signaux de tous les satellites sont
émis sur la même fréquence (ex. L1 : 1575,42 MHz).

EXPERTISES MARS 2017

(14)

Voir J. B.-Y. Tsui (2000), chapitre 5 et notamment
p. 82.

(15)

Par une addition modulo 2, correspondant à la
fonction logique combinatoire symétrique « OU
exclusif » (⊕).

(16)

Où l'attaquant est « l'homme du milieu » situé
entre le satellite et le récepteur GPS de la
victime.

(17)

Dans ce cas, les General Lighthouse Authorities
(GLA), du Royaume-Uni et de l'Irlande.

(18)

Voir T. E. Humphreys (2013), université du Texas
à Austin.

(19)

D'un coût total estimé de l'ordre de 3 000 €.

(20)

D'autant que d'autres systèmes pour l'échange
de données de positionnement de bateau à
autorité, d'autorité à bateau et de bateau à
bateau, comme l'AIS (Automatic Identification
System) et l'AI-IP (Automatic Identification via
Internet Protocol), reposent sur le système GPS
lui-même.

(21)

Soit dix fois moins que les dispositifs professionnels USRP N200 (Universal Software Radio
Peripheral).

(22)

Il est vu l'existence de dispositifs commerciaux intégrant la détection de « spoofing »
(ex. NEO-8Q d'U-blox), et A. Ranganathan et
al. (2016) ont présenté un récepteur prétendu
capable de détecter les attaques connues.

(23)

Transports : aérien, maritime, fluvial, rail,
routier, construction, périphériques mobiles,
réseaux et contrôle, agriculture, transactions
financières, services de surveillance, d'alerte et
d'urgence, de trace des véhicules, etc.

Bibliographie
(24)

G.N. (2011) : Analyse prospective sur l'évolution de la cybercriminalité de 2011 à 2020,
Gendarmerie nationale

(25)

http://www.cil.cnrs.fr/CIL/IMG/pdf/cybercriminalite_prospective-2020-v1-0_0.pdf

(26)

Guinier D., Schoenher D. (2011) : Introduction
méthodologique et présentation des résultats de
l'étude prospective sur la cybercriminalité 20112020. Conférence plénière au Forum du Rhin
supérieur sur les Cybermenaces (FRC 2011),
ENA Strasbourg, 9 novembre

(27)

Humphreys T. E. et al. (2008) : Assessing the
Spoofing Threat : Development of a Portable
GPS Civilian Spoofer, Proceedings of ION
GNSS 2008, Savannah, 12 p.

(28)

Humphreys T. E. (2013) : Spoofing on the high
seas. Dept. of Aerospace Engineering and
Engineering Mechanics, Cockrell School of
Engineering, University of Texas at Austin.

(29)

Psiaki M. L., Humphreys T.E. (2016) : GNSS
Spoofing and Detection, Proceedings of the
IEEE, Vol. 104 n° 6, pp. 1258-1270

(30)

Psiaki M. L., Humphreys T.E. (2016) : Attackers
can spoof navigation signals without our
knowledge. Here's how to fight back GPS lies.
IEEE Spectrum, août, 8-16, pp. 26-32 et 52-53.

(31)

Ranganathan A. et al. (2016) : SPREE: A Spoofing
Resistant GPS Receiver. Cryptography and
Security. Cornell University Library, 14 p.

(32)

Tsui J. B.-Y (2000) : Fundamentals of Global
Positioning System Receivers: A Software
Approach. John Wiley & Sons, 255 pages.


http://www.cil.cnrs.fr/CIL/IMG/pdf/cybercriminalite_prospective-2020-v1-0_0.pdf

Table des matières de la publication Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422

Couverture
Editorial & Sommaire
MAGAZINE CONTRAT - ACCÈS INDIRECT À SAP VIA DES APPS TIERCES : LES CLIENTS DOIVENT PAYER
INTERVIEW POUR UN DROIT EUROPÉEN DES ROBOTS
DOCTRINE
SÉCURITÉ - LES RESPONSABLES ET PRESTATAIRES INFORMATIQUES EN PREMIÈRE LIGNE
DONNÉES PERSONNELLES - LES RISQUES LIÉS AUX SMART CITIES
SÉCURITÉ - VULNÉRABILITÉ AUX CYBERATTAQUES DU GPS À USAGE CIVIL
SERVICE DE PAIEMENT - LA DIRECTIVE DSP2 : SÉCURITÉ DES DONNÉES ET PROTECTION DU CONSENTEMENT
DONNÉES PERSONNELLES - UN NOUVEAU CADRE POUR LES COOKIES
CONTRATS - LA CLAUSE LIMITATIVE D’INDEMNISATION DITE « DE RESPONSABILITÉ »
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - Couverture
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - Editorial & Sommaire
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - MAGAZINE CONTRAT - ACCÈS INDIRECT À SAP VIA DES APPS TIERCES : LES CLIENTS DOIVENT PAYER
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 84
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 85
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 86
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 87
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 88
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 89
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 90
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - INTERVIEW POUR UN DROIT EUROPÉEN DES ROBOTS
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 92
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 93
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 94
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 95
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - SÉCURITÉ - LES RESPONSABLES ET PRESTATAIRES INFORMATIQUES EN PREMIÈRE LIGNE
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 97
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 98
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 99
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 100
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 101
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 102
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - DONNÉES PERSONNELLES - LES RISQUES LIÉS AUX SMART CITIES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 104
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 105
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 106
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 107
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - SÉCURITÉ - VULNÉRABILITÉ AUX CYBERATTAQUES DU GPS À USAGE CIVIL
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 109
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 110
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 111
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 112
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - SERVICE DE PAIEMENT - LA DIRECTIVE DSP2 : SÉCURITÉ DES DONNÉES ET PROTECTION DU CONSENTEMENT
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 114
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 115
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - DONNÉES PERSONNELLES - UN NOUVEAU CADRE POUR LES COOKIES
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 117
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 118
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - CONTRATS - LA CLAUSE LIMITATIVE D’INDEMNISATION DITE « DE RESPONSABILITÉ »
Expertises des Systèmes d'information - Le mensuel du droit de l'informatique et du multimédia - Mars 2017 - n°422 - 120
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com