Chaque fois qu’un navire enregistre sa position, qu’un avion fait confiance à son système de gestion de vol ou qu’un réseau électrique synchronise ses horloges, il accorde une confiance aveugle à des signaux que n’importe qui disposant du bon équipement peut falsifier.
Qu’est-ce que le GNSS spoofing ?
La civilisation moderne repose sur le positionnement et la synchronisation par satellite d’une manière à laquelle la plupart des gens ne pensent jamais. GPS, GLONASS, Galileo, BeiDou — ces systèmes soutiennent discrètement la navigation des smartphones, le ciblage militaire et les horodatages qui empêchent les transactions financières de sombrer dans le chaos. Le spoofing attaque cette base non pas en coupant le signal, mais en le remplaçant par un mensonge. Un récepteur compromis continue de fonctionner, affiche une position, indique une heure — sans avoir la moindre idée que tout est falsifié. C’est ce qui rend le spoofing véritablement dangereux d’une manière que le simple brouillage n’a jamais été.
Comment fonctionne le GNSS spoofing
Pour comprendre l’attaque, il faut d’abord comprendre ce que fait réellement un récepteur GNSS. Il écoute les signaux de plusieurs satellites, mesure le temps que met chaque signal à arriver et utilise ces délais de propagation pour calculer sa propre position dans l’espace tridimensionnel — un processus appelé trilatération. Chaque satellite transmet sur une fréquence connue en utilisant un code de bruit pseudo-aléatoire que le récepteur compare à sa propre réplique interne. Le délai entre l’émission et la réception, converti en distance, est ce qui rend le calcul possible.
Les signaux GNSS civils — le GPS L1 C/A étant le plus utilisé — ne comportent aucune authentification cryptographique. Rien n’empêche quelqu’un disposant du matériel approprié de générer des signaux qui semblent, pour n’importe quel récepteur, totalement légitimes. Un spoofer fait exactement cela. L’attaque commence généralement de manière subtile : des signaux falsifiés sont introduits à des niveaux de puissance proches des signaux réels, évitant toute discontinuité brutale susceptible de déclencher une alerte. Ensuite, l’attaquant modifie progressivement les paramètres temporels, décalant lentement la position ou l’horloge calculée du récepteur par petits incréments difficiles à détecter.
Le matériel nécessaire n’a rien d’exotique. Des équipements de radio définie par logiciel capables de générer des signaux falsifiés crédibles sont disponibles dans le commerce pour quelques centaines d’euros. Associés à des logiciels open source de génération de signaux, ils constituent une plateforme d’attaque fonctionnelle. Les acteurs étatiques opèrent à une tout autre échelle — systèmes embarqués sur véhicules ou plateformes aériennes capables de couvrir des régions entières, comme ceux à l’origine des perturbations documentées en mer Noire et en Méditerranée orientale depuis le milieu des années 2010.
Principales techniques de GNSS spoofing
La menace n’est pas unique. Différents attaquants, avec des ressources et des objectifs variés, utilisent des approches sensiblement différentes.
Le meaconing est antérieur à l’ère numérique. L’attaquant capte des signaux satellites authentiques et les retransmet avec un retard intentionnel. Aucune synthèse ni connaissance approfondie de la structure du signal n’est nécessaire — le récepteur calcule simplement une position incorrecte en mesurant des temps de propagation artificiellement allongés. Simple, mais détectable si l’on sait quoi chercher.
Les attaques par rejeu suivent une logique similaire : enregistrer un signal GNSS réel quelque part, puis le rejouer plus tard ou ailleurs. Le problème est que le message de navigation contient un horodatage intégré, qui diverge rapidement du temps UTC réel, rendant la fraude évidente pour tout système qui vérifie.
Le spoofing génératif est le niveau supérieur. L’attaquant construit les signaux entièrement à partir de zéro — géométrie des satellites, décalages Doppler, phase de la porteuse, contenu du message de navigation — tout est synthétisé pour créer une image fausse mais cohérente. C’est cette technique qui explique les navires près de ports russes signalant soudainement leur position comme étant l’aéroport de Vnoukovo, ainsi que les anomalies aéronautiques observées dans des espaces aériens contestés.
Les attaques ciblant un récepteur se concentrent sur un seul dispositif, parfois en injectant physiquement un signal au niveau de la connexion d’antenne. Elles sont pertinentes lorsque la cible est précise et de grande valeur — serveur de temps financier, véhicule spécifique ou équipement de communication critique.
Les attaques centrées sur le temps méritent leur propre catégorie, car la navigation n’est pas l’objectif. Réseaux électriques, stations de base cellulaires, plateformes de trading — tous se synchronisent à l’aide d’horodatages GNSS. Corrompre cette référence temporelle de quelques microsecondes suffit à désynchroniser des systèmes distribués de manière imprévisible.
Détection et atténuation
La défense repose sur plusieurs couches, et aucune mesure ne suffit à elle seule.
Au niveau du signal, l’authentification cryptographique est la solution la plus robuste. Le système OSNMA de Galileo — Open Service Navigation Message Authentication — est pleinement opérationnel depuis 2024 et signe les messages de navigation avec un schéma à clé publique que tout récepteur compatible peut vérifier. Un message falsifié sans signature valide est rejeté. Le GPS propose depuis longtemps des signaux chiffrés pour un usage militaire, et la modernisation L1C vise à offrir une protection similaire au marché civil, même si son adoption prendra du temps.
Les récepteurs multi-constellations et multifréquences compliquent considérablement la tâche de l’attaquant. Générer des signaux cohérents simultanément pour GPS, GLONASS, Galileo et BeiDou sur plusieurs bandes de fréquence est bien plus difficile que de tromper un simple récepteur mono-constellation. Toute incohérence devient un indicateur d’attaque.
La fusion du GNSS avec la navigation inertielle — accéléromètres et gyroscopes — offre une vérification croisée difficile à tromper sans accès physique au système. Un saut de position non détecté par l’IMU, ou une vitesse incohérente avec l’accélération mesurée, devient immédiatement suspect.
La géométrie de l’antenne joue également un rôle. Les antennes à diagramme de réception contrôlé peuvent déterminer la direction d’arrivée des signaux et détecter ceux qui ne correspondent pas à la position réelle des satellites. Un spoofer au sol ne peut pas imiter le ciel.
Au niveau opérationnel, les standards minimaux pour les systèmes critiques incluent :
- Des récepteurs avec OSNMA ou une authentification équivalente activée.
- Au moins une source indépendante de position ou de temps pour validation croisée (cellulaire, AIS, radar).
- Des alertes en cas de discontinuités soudaines de position, de temps ou du rapport signal/bruit.
- La protection physique des lignes d’antenne contre l’injection de signaux.
Vue d’ensemble
Ce problème n’est plus théorique depuis longtemps. L’espace aérien autour des zones de conflit en Europe de l’Est et au Moyen-Orient est devenu un véritable terrain d’essai, avec des incidents suffisamment fréquents pour que les autorités aéronautiques publient des avertissements réguliers. Les infrastructures civiles conçues en supposant que les signaux satellitaires sont fiables fonctionnent désormais dans un environnement où cette hypothèse ne tient plus.
Les solutions techniques existent. Authentification cryptographique, fusion de capteurs, récepteurs multi-constellations — rien de tout cela n’est expérimental. Ce qui progresse lentement, c’est l’adoption. Des centaines de millions de récepteurs hérités sont encore en service, intégrés dans des systèmes qui ne seront pas remplacés à court terme. Tant que l’authentification ne deviendra pas la norme, la détection multicouche et la vigilance opérationnelle resteront les principales lignes de défense.
