La sécurité des données SSN est une question majeure pour les professionnels de la pêche. C’est également une question majeure pour les centres de surveillance dans la mesure où il est probable que le centre endossera la responsabilité d’assurer la sécurité, via la réglementation, un contrat ou un accord international. La sécurité est une notion plus large que la protection des données de la fraude et son importance dans la mise en œuvre d’un SSN sera donc primordiale.
On peut inclure dans le chapitre général sur la sécurité un certain nombre de concepts. Ceux qui se rattachent au SSN sont les suivants:
Intégrité - le fait que les données soient ou ne soient pas altérées ou qu’une opération s’effectue ou non de la façon requise.
Authenticité - le fait que la source des données soit ou non identifiée positivement et reconnue comme valide.
Confidentialité - le fait qu’une personne non habilitée puisse ou non visionner les données.
Impossibilité de répudiation - le fait que l’expéditeur ou le destinataire des données puisse ou non nier frauduleusement avoir envoyé ou reçu des données.
Capacité d’audit - l’étendue de la capacité d’examen de tous les aspects liés à la sécurité à partir des enregistrements.
Sans être spécifiquement liés à des fonctions ou composantes particulières du SSN, tous les concepts énumérés ci-dessus devraient se retrouver dans un SSN type.
Bien qu’un ouvrage sur les normes et standards du SSN puisse sembler être une tribune inhabituelle pour entamer une discussion détaillée sur la sécurité du système, ce point est fondamental. Si les opérateurs SSN ne sont pas persuadés de l’intégrité des données qu’ils reçoivent lors d’opérations de routine, l’usage du SSN comme outil de gestion des pêcheries sera sérieusement compromis.
De surcroît, dans un contexte d’activités internationales, où les navires battant pavillon d’un Etat donné détiennent des autorisations pour pêcher dans un Etat côtier différent, cet Etat doit être certain de l’intégrité des données émanant de toute installation placée à bord du navire étranger.
Enfin, force est de reconnaître que le SSN est la plupart du temps utilisé comme outil de protection de la ressource. Ce dernier aspect n’est rien moins qu’un aspect particulier de la police des pêches. Un armateur peut récolter des gratifications financières substantielles en se soustrayant au contrôle, il est donc essentiel que l’équipement de la balise soit conçu pour être, dans la mesure du possible, invulnérable à la modification intentionnelle des données ou à d’autres manipulations frauduleuses.
La réponse apportée à ce défi par certaines autorités en matière de pêche (par exemple le Portugal, l’Espagne, l’Argentine, le Maroc) a été de créer une balise qui soit potentiellement une unité blindée: elle est installée à bord d’un navire dans une boîte en métal renforcé et offre pour le bord, une interface limitée au minimum des fonctionnalités nécessaires pour mener une communication bi-directionnelle et éventuellement une émission de rapport de captures.
Bien que cette solution puisse sembler viable, les auteurs de cet ouvrage estiment qu’une telle approche ne peut être retenue pour un certain nombre de raisons. La principale est que la sécurité supplémentaire apportée par de telles installations n’est pas proportionnelle à l’importance des coûts additionnels engendrés.
L’objectif visé par ce type de protection est de rendre le système d’une invulnérabilité sans faille à tout type de manipulation frauduleuse. Néanmoins, comme nous le verrons ci-dessous, la fraude la plus commune consiste à bloquer la transmission au niveau de l’antenne, et aucun type de blindage ou d’appareil de sécurité ne peut empêcher une telle manipulation.
De surcroît, chacune de ces balises vaut plusieurs fois le prix d’une balise standard et leur conception personnalisée implique que leur production sera toujours limitée et leur prix toujours relativement élevé. De plus, la maintenance ou le remplacement sont pour le moins problématiques, spécialement dans un contexte de navires très mobiles et navigant en haute mer.
Les concepteurs de cette approche répliqueront que la solution est de développer des normes et des standards spécifiques à une telle balise. Néanmoins, il est peu crédible que, dans un contexte où les gestionnaires des pêches ont des difficultés à s’accorder sur un simple format pour la présentation de la position et des données de capture, ils puissent parvenir s’accorder sur un projet avec autant de paramètres et de variables qu’un nouveau type de balise. De surcroît, ce matériel informatique aurait à correspondre à un «rêve impossible» sur le plan technologique: la capacité de fonctionner avec tous les systèmes satellitaires présents et futurs afin d’éviter l’obsolescence dans plus de quelques années.
Il faut souligner que le SSN est un moyen de gestion des pêches efficace et non une fin en soi. En utilisant un équipement standard qui se conforme à des normes raisonnables à la fois en terme de conception et d’installation, il est possible de contrer sinon toutes, du moins les tentatives de fraude au SSN les plus significatives, à la fois en matière économique et technologique. On peut s’attendre à ce que même les plus inventives soient en fin de compte décelées lors d’une opération de contrôle des pêches efficace.
Avec la disponibilité, via le SSN, de données additionnelles sur les mouvements des flottilles, ce ne devrait être qu’une question de temps avant qu’un navire de contrôle ou une patrouille aérienne ne détecte un navire se livrant à une falsification des données de position transmises par sa balise. Si l’autorité en charge du contrôle des pêches dans la zone où se trouve le navire n’impose pas d’amende ou ne déploie pas une autorité suffisante pour être dissuasive à l’encontre de futures infractions concernant son système SSN, l’engagement de cette autorité à assurer la pérennité de ses ressources halieutiques doit être remis en question.
On peut clairement identifier cinq types d’actions susceptibles d’entraver le fonctionnement normal d’une balise. On décrira chacune d’elles avant de débattre du genre de normes et standards susceptibles d’être imposés à un type de balise, à sa conception et à son installation en vue de neutraliser de tels agissements.
C’est le moyen le plus évident et le plus fréquent pour neutraliser une balise. Comme c’est le cas avec beaucoup de techniques simples, il est très efficace et difficile à contrer. En pratique, on obtient le blocage la plupart du temps en recouvrant l’antenne avec un objet dont la matière supprime la ligne de visée avec le satellite. On peut utiliser presque tout, un objet en forme de seau restant le plus commun.
La vision d’une antenne couverte peut provoquer une curiosité indésirable, ainsi, une alternative, plus discrète, consiste à recouvrir l’antenne d’une substance fluide, par exemple une peinture métallisée. Cette dernière approche pose néanmoins le problème de son enlèvement rapide. Une autre solution qui pourrait être adoptée par un capitaine de navire souhaitant bloquer la transmission de sa position est de déconnecter le câble de l’antenne soit de l’antenne elle-même, soit de l’unité de communication.
Quand une antenne est bloquée par quelque moyen que ce soit, la transmission d’une information sur la position est impossible. La clé de résolution de cette énigme consiste à configurer la station de base qui reçoit les rapports du navire de façon à ce qu’un rapport de position attendu et non reçu (la station de base connaît l’intervalle entre les rapports) soit traité par cette station comme un «événement». Connaissant la position du navire communiquée lors de son précédent rapport, la diffusion aux navires et avions de surveillance d’un arrêt d’émission du navire en question accroît la possibilité de pouvoir l’observer.
De plus, l’obligation, figurant au nombre des spécifications de la balise, d’émettre des messages de «service interrompu» offre au gestionnaire des pêches une connaissance non négligeable de la route du navire et de l’heure exacte à laquelle l’installation s’est déconnectée. Bien qu’il soit exagérément optimiste de s’attendre à ce que la majorité des navires qui bloquent leur transmission soient pris en flagrant délit, ceux qui sont coutumiers du fait vont fournir des éléments au centre de surveillance des pêches qui pourront fort bien être utilisés pour esquisser une position.
Il convient de remarquer que le fait de déclencher un message d’«interruption de service» peut permettre une tolérance de, disons 15 à 30 minutes, en fonction des conditions d’activité habituelles du navire. Ceci évitera d’envoyer un message d’alerte lorsque l’antenne est légitimement bloquée, quand le navire passe sous un pont ou navigue à proximité d’une structure élevée (navire, falaise, etc.).
Pour parer à une déconnexion de l’antenne, on peut préconiser l’usage de connecteurs de sécurité soudés au câble de l’antenne qui rendraient toute déconnexion impossible sauf à laisser la preuve tangible d’une manipulation frauduleuse.
La coupure de l’alimentation électrique entraîne l’interruption de la puissance nécessaire au fonctionnement d’une balise d’une autre façon que le fait de déconnecter la balise selon la procédure normale. L’effet d’une telle coupure est semblable au blocage de l’antenne, dans la mesure où le centre de surveillance perd tout contact avec le navire.
Puisque l’effet d’une coupure de l’alimentation électrique est semblable à celui d’un blocage de l’antenne, le remède à employer sera le même. Dans ce cas, tout ce qui est énoncé à la section 9.1.1 est valable. Il y a, cependant, une précaution additionnelle susceptible de dissuader le fait de déconnecter la balise de sa source d’alimentation. Elle consiste à spécifier dans les normes et standards de l’installation, qu’il doit exister une batterie de secours spécifique pour la balise.
Une unité installée de la sorte est capable d’envoyer un message de service de secours quand son alimentation électrique est coupée et peut, en fonction de la puissance de la batterie, rester en service pendant un temps considérable. La spécification d’une batterie à usage marin de 100 ampères-heures comme source d’énergie de secours permettrait d’assurer un service pendant plusieurs semaines. L’utilisation de connecteurs de sécurité (semblables à ceux requis pour l’antenne au point 9.11) découragerait les manipulations frauduleuses.
L’exigence de posséder une alimentation électrique de secours a l’avantage supplémentaire de remédier aux coupures de courant accidentelles, qui ne sont pas rares à bord d’un navire de pêche.
Comme une balise transmet sa propre position plus que celle du navire sur laquelle elle est installée, l’ôter matériellement du navire est un très bon moyen de séparer les mouvements réels du navire de sa position transmise au centre de surveillance. La ramification la plus insidieuse de ce type de fraude est que l’opération semble être complètement normale depuis le centre de surveillance.
Une fois encore, le moyen de dissuasion le plus performant face à l’enlèvement du terminal est d’imposer de fortes amendes si le fait est découvert au cours des opérations normales de contrôle des pêches. Il existe des moyens pour décourager ce type d’activités en établissant des normes spécifiques pour l’installation d’une balise.
Si l’on impose qu’à la fois l’antenne et l’unité de communication comme les raccordements de la balise à l’antenne soient montés avec des scellés de sécurité (cette opération peut se résumer simplement à l’utilisation d’une bande adhésive spécialement conçue à des fins de sécurité), ils devraient être détruits afin de déplacer les éléments. De même, en exigeant que le câble de l’antenne franchisse la cloison du navire par une ouverture inférieure à l’un des éléments dont il permet la connexion, il est possible de s’assurer que l’équipement ne peut être ôté et remplacé de façon indétectable.
Dans le contexte d’une opération de gestion des pêches qui nécessite des vérifications régulières des installations SSN et impose des amendes appropriées en cas de non-respect, de telles actions préventives devraient éliminer complètement la probabilité d’un déplacement matériel de l’antenne.
Cette pratique est connue sous le nom de clonage et consiste à créer une copie de la balise qui fonctionne comme l’original. Après avoir fait cela, le concepteur de la balise peut la faire apparaître dans le système SSN comme si son navire était à l’endroit de son choix, aussi longtemps qu’il pourra faire en sorte que le clone soit à cet endroit précis. D’un point de vue fonctionnel, pour le fonctionnement du SSN, cela revient à ôter la balise d’un navire, mais sans avoir l’inconvénient de devoir briser les scellés de sécurité.
L’opérateur SSN peut se réjouir à la perspective que le clonage d’un terminal de communication par satellite n’est pas une tâche facile, à la fois d’un point de vue technique, mais aussi économique. C’est de la responsabilité principale du concepteur du terminal et de l’opérateur SSN de s’assurer que cela ne le soit pas.
Le moyen le plus fiable pour éviter le clonage est que le système de communication via n’importe quel terminal, en mode transmission comme en mode réception, soit basé sur la reconnaissance d’identifiants internes uniques, dont seuls le concepteur du terminal et l’opérateur SSN auraient connaissance. Pour l’opérateur SSN, il est important d’exiger que cet identifiant soit intégré à la partie non modifiable du système de façon codée. Si de telles normes sont établies, le clonage d’un terminal, bien qu’éventuellement possible, ne sera pas économiquement viable pour être utilisé frauduleusement en matière de pêche.
C’est la première idée qui vient à l’esprit lorsqu’on pense aux fraudes possibles du SSN. Un capitaine de navire trouve le moyen de substituer à la position correcte émise par sa balise et calculée par le GPS, celle qui indique la zone où il souhaite que les responsables de la pêcherie localisent son navire.
Pour ce faire, on peut imaginer deux moyens: dans le premier, le capitaine du navire parvient à effectuer une entrée manuelle de la position transmise, à la place de l’émission du GPS. Dans le second, il simule un signal GPS, en utilisant un GPS programmable ou un autre genre de simulation sur ordinateur, et substitue le signal simulé au signal de sortie du GPS réel qui équipe sa balise.
Pour le système SSN, les effets d’une telle action sont semblables à ceux d’une balise ôtée ou clonée dans la mesure où le centre de surveillance reçoit des positions qui ne correspondent pas à la position du navire suivi.
Comme c’est le cas pour le clonage, l’invention du moyen pour rentrer une position erronée dans un terminal de communications satellitaires conçu pour résister à de telles manipulations frauduleuses, est loin d’être chose aisée. La responsabilité pour se prémunir de tels agissements revient au concepteur de l’équipement, duquel il convient d’exiger un renforcement des protections contre la manipulation intempestive sur deux fronts: le matériel et les applicatifs.
Concernant l’aspect matériel, il est essentiel de s’assurer que l’interface entre le récepteur/décodeur GPS n’est pas clairement visible et que le protocole régissant l’échange de données n’est pas standard. L’usage d’un GPS sur un circuit imprimé séparé du matériel de communication informatique et simplement raccordé à lui par une interface dite standard (par exemple NMEA 0183) est une invitation pure et simple à la fraude.
Au contraire, l’intégration des composants du GPS sur le même circuit imprimé que les éléments de communication et raccordés à eux par une interface/un protocole prioritaire signifie qu’un fraudeur potentiel est virtuellement obligé de renvoyer à un technicien la totalité de la balise. Ceci, encore une fois, tendrait à rendre le coût de la fraude non rentable d’un point de vue économique.
Sinon, les applicatifs, qui permettront de façon quasi certaine, la saisie manuelle d’une position pour des motifs de détresse et de sécurité, devraient être conçu de façon à ce que l’entité qui reçoit le rapport de position soit alertée lorsque le rapport est saisi par le bord. L’incorporation de cette fonction dans la partie non modifiable du système permet essentiellement de s’assurer que la saisie manuelle des données de position n’a pas pour but la falsification des données SSN.
L’opérateur SSN doit quant à lui, nécessairement spécifier des normes pour la fabrication de la balise qui comporte des garanties suffisantes contre ce type de manipulation frauduleuse, prévues dans la garantie du constructeur. De plus, l’association de scellés de sécurité restreignant l’ouverture de la balise avec une réglementation interdisant de telles pratiques fournira une assurance supplémentaire.
Tableau 9.1 Aspects relatifs à la sécurité SSN
|
Type d’infraction à la sécurité |
Action pour y remédier |
|
Blocage de l’antenne |
Message de service interrompu, scellés de sécurité sur les connecteurs de l’antenne |
|
Coupure de l’alimentation électrique |
Message de service interrompu, source d’énergie auxiliaire, scellés de sécurité sur les raccordements électriques |
|
Enlèvement matériel |
Lignes de conduite strictes pour l’installation, scellés de sécurité sur l’installation |
|
Duplication/clonage |
Elaboration de modèles pourvus d’un code unique indéchiffrable |
|
Saisie de position erronée |
Elaboration de modèles dotés d’une interface GPS invulnérable, prévention des manipulations frauduleuses par des scellés de sécurité |
