LCDC SA, Socit Anonyme Directoire et Conseil de Surveillance au capital de 271 000 Euros
Parc Elyse, 39 rue Michel Ange, 91026 Evry-Courcouronnes FRANCE
Tel +33 (0) 1 6087 0467 Facsimil : +33 (0) 1 6987 2860 Page 1 de 7
SECURITE DES INFORMATIONS DANS LES COMMUNICATIONS VIA SATELLITE
Bruno VO VAN, Mise jour : Juin 2006
LCDC SA, Socit Anonyme Directoire et Conseil de Surveillance au capital de 271 000 Euros Parc Elyse, 39 rue Michel Ange, 91026 Evry-Courcouronnes FRANCE Tel +33 (0) 1 6087 0467 Facsimil : +33 (0) 1 6987 2860 Page 2 de 7
SOMMAIRE
1 PRAMBULE ...................................................................................................3 2 ABBREVIATIONS.............................................................................................3 3 PROTOCOLE DACCS MULTIPLE AU SEGMENT SPATIAL. .....................4 4 NIVEAUX DINTRUSION..................................................................................4 4.1 ECOUTE SUR LA COUCHE DE TRANSPORT ...................................................................... 4 4.2 ACCS AUX COUCHES DE DONNES ET DE RSEAUX. ...................................................... 5 4.3 ACCS AUX DONNES DES APPLICATIONS ...................................................................... 5 5 EFFICACIT DES CES INTRUSIONS ILLGALES ........................................6 6 MALVEILLANCE..............................................................................................6 6.1 INTGRIT DES DONNES .............................................................................................. 6 6.2 CONFIDENTIALIT DES DONNES.................................................................................... 6 7 VULNRABILITS A LECOUTE ....................................................................6 8 CONCLUSIONS................................................................................................7
LCDC SA, Socit Anonyme Directoire et Conseil de Surveillance au capital de 271 000 Euros Parc Elyse, 39 rue Michel Ange, 91026 Evry-Courcouronnes FRANCE Tel +33 (0) 1 6087 0467 Facsimil : +33 (0) 1 6987 2860 Page 3 de 7
1 PREAMBULE La facilit de recevoir des signaux satellite en tout endroit et sur une couverture qui peut tre intercontinentale donne une image vulnrable quant la scurit des informations transmises.
Beaucoup doprateurs historiques ont entretenu ces craintes. Les rseaux dentreprises utilisant comme vecteur principal un satellite ne tiennent pas compte des frontires. Ils taient alors considrs comme un levier une drgulation rapide du march des tlcommunications. Durant la priode de drgulation (1999-2002) de ce march des tlcommunications, la longueur de fibres optiques poses augmentait sur une vitesse journalire plus de deux fois la vitesse du son pendant trois annes. Ctait un investissement considr assez important pour mentir par omission.
Lutilisateur potentiel comprenait, de faon errone, quune meilleure protection existerait sur un rseau terrestre mondial en fibre optique.
Une des conclusions tait de prtendre que seul un chiffrage, de plus haut niveau, des communications au niveau du transport mais aussi des contenus des donnes pouvait assurer un parfaite invulnrabilit des intrusions illgales.
Ce document montre que les technologies utilises en liaisons satellite, et en particulier celles daccs multiple au segment spatial, sont trs fermes toute intrusion. Elles sont souvent le choix privilgi de rseaux militaires car elles peuvent constituer un rseau parfaitement indpendant de tout accs et dun accs technologique extrmement difficile. Les progrs en matire de communications numriques par voie hertzienne et des techniques doptimisation de lusage des segments spatiaux donnent une multitude de protocoles daccs multiple. Les intrusions ne peuvent pas utiliser des mthodes gnriques qui dfiniraient notre avis un constat de faiblesse en matire de scurit des donnes.
Il dcrit la technologie choisie par LCDC SA dans ses offres dintgration de rseaux satellite dentreprises. 2 ABBREVIATIONS ATU : Automatic Tuning Unit (Unit dadaptation dantenne) BER : Bit Error Rate (taux derreur dune liaison) BURST : Implusion de transmission dune station dans une trame TDMA CENELEC : European Committee for Electro Technical Standardisation CIR : Committed Information Rate FM : Frequency Modulation FRAD : Frame Relay Access Device IEEE : Institute of Electrical and Electronics Engineers ITU : International Telecommunication Union kbps : Kilo bits per second kHz : Kilo Hertz KSA : Kingdom of Saudi Arabia LAN : Local Area Network MHz : Mega Hertz NMS : Network Management System PC : Personal Computer RTT : Round Trip Time
LCDC SA, Socit Anonyme Directoire et Conseil de Surveillance au capital de 271 000 Euros Parc Elyse, 39 rue Michel Ange, 91026 Evry-Courcouronnes FRANCE Tel +33 (0) 1 6087 0467 Facsimil : +33 (0) 1 6987 2860 Page 4 de 7 RX : Receive SCADA : Supervisory Control And Data Acquisition SES : Satellite Earth Station TDMA : Time Division Multiple Access TX : Transmit UHF : Ultra High Frequency VHF : Very High Frequency VSAT : Very Small Aperture Terminal 3 PROTOCOLE DACCES MULTIPLE AU SEGMENT SPATIAL. Chaque constructeur propose alors un quipement orient selon son analyse marketing. Le modem quil proposera sera dvelopp selon des fonctionnalits quil aura juges le plus opportunes pour rpondre aux segments du march choisis.
En favorisant, par exemple, une dpendance du client vis--vis des oprateurs de Tlport : gestion centralise, rseau toil, intelligence centralise,... En proposant un prix de terminal le plus bas possible pour lutilisateur et un hub trs couteux au niveau des oprateurs de Tlport: exemple hub DBV-RCS ou hubs des constructeurs VIASAT ou I-Direct.
- Il nglige de fait une vraie optimisation de la consommation des segments spatiaux. Le cot des segments spatiaux tant un cot opratoire pour lusager. - Il placerait le niveau de scurit des informations en critres mineurs. Les orientations ci-dessus ne peuvent pas tre considres pour la constitution de rseaux scuriss.
Il parat vident que pour raliser un rseau rellement scuris, il soit ncessaire davoir au minimum les orientations suivantes : - La possibilit dindpendance de lutilisateur, vis--vis dun tlport - Un segment spatial exclusivement ddi - Un cot opratoire minimis par des stations pouvant travailler sans Hub, et possdant assez dintelligence pour travailler seules.
Certains constructeurs dont NDSATCom possdent une srie de modems ayant ces fonctionnalits. Cest le choix de LCDC SA pour offrir une intgration de rseaux VSAT parfaitement scuriss pour les Entreprises.
Ces modems utilisent le protocole AMRT (TDMA), saut de frquences et allocation dynamique de bande passante par variations de lintervalle de temps attribue la transmission par impulsion dune station. A ce protocole est associ des fonctionnalits qui optimisent ses performances en matire de Qualit de Services et dconomie de bandes passantes spatiales. LCDC SA le qualifie comme un systme sans noyau central essentiel et intelligence rpartie : il est Hubless. Il permet de crer des rseaux VSAT parfaitement isols. 4 NIVEAUX DINTRUSION 4.1 ECOUTE SUR LA COUCHE DE TRANSPORT Chaque modem gnre sa propre squence de transmission et produit des caractristiques de signal uniques en ce qui concerne l'ordre des stations qui mettent en squences, la dure et la sparation dimpulsions.
En raison de ce ct propritaire, il n'est pas possible de dcoder ou produire le signal de la porteuse avec un modem dun autre constructeur disponible sur le march.
LCDC SA, Socit Anonyme Directoire et Conseil de Surveillance au capital de 271 000 Euros Parc Elyse, 39 rue Michel Ange, 91026 Evry-Courcouronnes FRANCE Tel +33 (0) 1 6087 0467 Facsimil : +33 (0) 1 6987 2860 Page 5 de 7
De plus, la structure des trames dmissions diffre entre les rseaux mme en utilisant un modem identique: ex., ceux-ci peuvent travaillent simultanment sur plusieurs porteuses pour transporter la mme information.
Une intrusion illgale sur un rseau de ce type ncessite des achats dquipements nombreux de rception pour lcoute dune seule station pour une collecte des signaux.
La station intruse doit alors dtre proximit de la station couter car chaque station du rseau ajuste sa fentre dcoute selon la dure de propagation entre et le satellite (RTT). Largument dune coute au niveau international ou mme rgionale savre faux: L'valuation d'informations reues exige la synchronisation approprie, qui ne peut pas tre considre comme acquise naturellement dans le systme, parce que le temps d'aller et retour vers le satellite diffrera de la station originale. L'adaptation dun RTT automatique exigerait que clone transmette, ce qui mnerait sa dcouverte. Linformation obtenue serait de plus encode.
La station intruse ne peut que collecter (et enregistrer) qu fil de leau, et ne dcoder que de faon binaire sur la base de la connaissance du type de modulation (QPSK, QAM8, 16), de la valeur de la correction derreur (FEC), des codages et algorithmes conomisant la bande passante : Viterbi, Turbo Code, Reed Solomon, pour les modulations ; G723, 729, etc. pour les compressions de phonie.
Pour dcoder des signaux de rception au niveau de la couche de transport, lintrus devra alors connaitre les paramtres qui sont spcifiques la station quil espionne. Cette collecte de lcoute sera inutile sans corrlations et connaissance dautres donnes lies directement la connaissance des divers types de flux en temps rel de toutes les stations du rseau. 4.2 ACCES AUX COUCHES DE DONNEES ET DE RESEAUX. Une partie de ces donnes complmentaires sont alors trouver au niveau de couches de donnes et rseaux.
Le protocole propritaire assigne chaque station de sidentifier intervalles dfinies et assignes de faon totalement dynamique. Ces intervalles sont alatoires car elles suivent les flux transmettre en temps rel (phonie), respectent les priorits des applicatifs du client, etc.. Il nexiste donc pas de trames rptitives identiques qui permettraient de constitueraient des trappes analyser.
Chaque station a une adresse unique et doit tre enregistre. Linformation quelle transporte ne peut tre identifie que par un dcodage complet du contenu du contenu du burst de transmission.
Lmission et la rception ne sont seulement possibles pour des stations enregistres et possdant une identification valide. Toutes autres demandes de transmissions dune adresse inconnue sont rejetes et aucune donne ne lui est envoye. Il y aurait en outre une alerte au niveau de la supervision du rseau. 4.3 ACCES AUX DONNEES DES APPLICATIONS Les donnes reues par une station sont extraites du conteneur de donnes dans le burst de la trame TDMA. Ces donnes sont amenes sur la carte de lunit centrale puis traites plus loin dans le FRAD interne au modem ou dans le pont Ethernet selon l'adressage. Seules les donnes adresses dans le nud de rseau seront disponibles aux ports Frame Relay ou Ethernet.
LCDC SA, Socit Anonyme Directoire et Conseil de Surveillance au capital de 271 000 Euros Parc Elyse, 39 rue Michel Ange, 91026 Evry-Courcouronnes FRANCE Tel +33 (0) 1 6087 0467 Facsimil : +33 (0) 1 6987 2860 Page 6 de 7
Il n'y a aucun accs d'autres donnes que ceux destines pour la station.
Il nexiste donc pas daccs aux autres donnes que celles destines la station considre. 5 EFFICACITE DES CES INTRUSIONS ILLEGALES Simmiscer dans ce type de rseau demandera dans tous les cas de moyens matriels trs importants ainsi quune connaissance dtaille des types de flux des utilisateurs. Dautres formes dintrusions seraient certainement moins onreuses et plus efficaces, en particulier sur les supports terrestres. Lefficacit des diffrentes manires de s'immiscer dans un rseau de ce type est alors sujette de forts doutes de rsultat. 6 MALVEILLANCE 6.1 INTEGRITE DES DONNEES Il n'y a aucune possibilit pour des personnes non autorises de changer, modifier, supprimer ou ajouter des donnes pendant la transmission sur un rseau de ce type, simplement parce que pour des stations terriennes non enregistres, il n'est pas possible de transmettre.
Toute tentative de clone dune station lgitime provoquera immdiatement du conflit causant immdiatement un conflit dadressage et un disfonctionnement et une alarme au niveau de la gestion du rseau.
Dans le doute, lutilisateur de rseau aura la possibilit d'exclure cette station ou la station clone du rseau.
Il est gnralement possible dempcher un rseau de ce type par un brouillage appropri sur les frquences des porteuses. Un dlit si vident mettrait en fait hors de service toutes sortes de communications satellites : Cest le cas trs improbable sauf par malveillance ou en temps de guerre.
D'autre part, la capacit dutiliser des porteuses multiples sur une trs large bande couvrant toute la bande C ou Ku rend difficile un brouillage complet difficile. 6.2 CONFIDENTIALITE DES DONNEES Comme expliqu ci-dessus, lintrus illgal se doit dacheter un modem identique au rseau introduire et dtre capable de structurer et dcoder les donnes transportes lobligeant davoir la connaissance de tous les paramtres spcifiques du rseau.
La station clone ne peut seulement obtenir l'accs aux informations qui lui sont adresses. Reconstituer les donnes complmentaires des autres stations du rseau ncessiterait des modifications en profondeur des systmes opratoires propritaires du modem lui-mme. 7 VULNERABILITES A LECOUTE Les activits de communications de stations satellites partir du sol, sont moins faciles de dtecter et localiser et analyser que sur des rseaux radiolectriques (HF, VHF, UHF etc...) ou terrestre par cuivre ou par fibres. Le signal transmis est mis dans un angle trs troit (typiquement 1 degr) dans la direction au satellite. En raison de la radiation trs concentre il n'y a aucune nergie considrable
LCDC SA, Socit Anonyme Directoire et Conseil de Surveillance au capital de 271 000 Euros Parc Elyse, 39 rue Michel Ange, 91026 Evry-Courcouronnes FRANCE Tel +33 (0) 1 6087 0467 Facsimil : +33 (0) 1 6987 2860 Page 7 de 7 voyageant le long de la surface de la terre, qui pourrait tre dtecte et value dans une certaine distance.
Les coutes des communications dpendent principalement de lcoute des transmissions du satellite. Les stations mettrices ne peuvent pas tre identifies sans dcodage complet du contenu de donnes dans chaque impulsion des trames TDMA. Seule une station clone seraient capable de dchiffrer avec beaucoup de conditions runies : porteuses identiques, flux entrants uniquement, mais aucune corrlation avec le trafic qui permettrait un dcodage rapide ne serait obtenue pour entreprendre la prochaine tape de dchiffrage. 8 CONCLUSIONS Les barrires pour un intrus sont extrmement hautes dans des rseaux satellite utilisant un protocole daccs multiple TDMA allocation dynamique de bande passante, allocation dynamique de lintervalle de temps de transmission, porteuse multiples. En particulier lorsquelles sont associes des fonctionnalits doptimisation de bande passante par remplissage de containers de paquets vides de phonie par des bits de donnes qui rend le protocole de base TDMA propritaire.
Le gain possible lobtention d'information par des moyens dcoute est trs faible en comparaison de l'effort exig et aux risques dchec en tant dcouvert. Le rsultat d'une comparaison entre les risques de confidentialit divers montrerait que c'est beaucoup plus facile pour un intrus potentiel d'obtenir les informations autrement. Par exemples en interceptant des donnes sur les secteurs terrestres ou par les agents de lutilisateur, la forteresse tant mieux protge par ses habitants que par ses murs.
Si, malgr le risque extrmement bas pour la perte de confidentialit, il y a une ncessit suprieure (rseaux gouvernementaux) daugmenter la sret de linformation et sa scurit, on peut considrer le chiffrage de donnes d'utilisateur. Ce sujet fait lobjet dun autre document sur le respect de la QoS dans un rseau crypt