Les satellites géosynchrones, qui transmettent Internet et données téléphoniques dans les zones dépourvues de câbles terrestres, diffusent des informations sensibles accessibles à quiconque dispose d’environ 600 $ d’équipement, selon une équipe de chercheurs.
Dans une étude publiée lundi, six universitaires de l’Université du Maryland et de l’Université de Californie ont révélé qu’« une quantité choquante de données sensibles » circulait en clair sur le réseau satellitaire, sans aucun chiffrement.
Ces données incluent des clés de chiffrement de communication cellulaire, des SMS de citoyens, ainsi que du trafic lié à des systèmes militaires et à des infrastructures critiques.
Les chercheurs expliquent avoir découvert tout cela en installant une simple antenne satellite sur le toit d’un bâtiment universitaire à San Diego, afin d’observer 39 satellites géosynchrones.
« Ces données peuvent être observées passivement par n’importe qui disposant de quelques centaines de dollars d’équipement grand public », précisent-ils.
« Il existe des milliers de transpondeurs de satellites géostationnaires dans le monde, et les données issues d’un seul transpondeur peuvent être visibles depuis une zone couvrant jusqu’à 40 % de la surface terrestre. »
Comment se protéger des regards indiscrets
Comme il est impossible de savoir si les fournisseurs chiffrent réellement le trafic, les chercheurs recommandent aux utilisateurs de se protéger en utilisant des services tels que les VPN, qui masquent les adresses IP et chiffrent les données.
Ils ajoutent que les communications vocales et textuelles devraient toujours passer par des applications à chiffrement de bout en bout, comme Signal ou Telegram, qui protègent automatiquement la vie privée. Les fournisseurs de services satellites pourraient également proposer le chiffrement comme option supplémentaire.
« Le chiffrement doit être appliqué à chaque niveau comme une protection en profondeur contre les failles individuelles. Il doit être considéré comme obligatoire, et non comme une simple option », insistent-ils.
Certains fournisseurs ont déjà corrigé le problème
Au cours de leurs recherches, les universitaires ont alerté plusieurs grands opérateurs, qui affirment avoir pris des mesures pour résoudre la faille.
« Il n’existe pas un seul acteur responsable du chiffrement des communications satellitaires GEO », expliquent-ils.
« Chaque fois que nous découvrions des informations sensibles dans nos données, nous faisions un travail considérable pour identifier l’entité concernée, établir un contact et lui révéler la vulnérabilité. »
Après avoir rescanné les réseaux utilisés par T-Mobile, Walmart et KPU, les chercheurs ont confirmé que des correctifs avaient été déployés. Toutefois, ils précisent qu’ils gardent confidentiels les détails sur d’autres systèmes affectés, car les discussions avec les parties concernées sont encore en cours.
Le chiffrement reste jugé trop coûteux
L’une des principales raisons expliquant l’absence de chiffrement est liée à son coût élevé, affirment les chercheurs. Les récepteurs situés dans des zones isolées ne peuvent souvent pas se permettre d’investir dans le matériel et les licences nécessaires.
De plus, le chiffrement peut compliquer la résolution des problèmes réseau et réduire la fiabilité des services d’urgence. Certains opérateurs ignorent même les risques, ou les sous-estiment, croyant à tort que l’interception des données est difficile.
« Alors que les universitaires et les militants ont accordé une attention considérable à la généralisation quasi universelle du cryptage pour les navigateurs Web modernes, les communications par réseau satellite ont bénéficié d'une visibilité et d'une attention bien moindres », ont déclaré les chercheurs.
L’étude s’est concentrée sur les systèmes de satellites en orbite géosynchrone équatoriale (GEO), qui restent fixes dans le ciel. Elle n’a pas examiné les systèmes en orbite basse (LEO), comme Starlink d’Elon Musk, car cela aurait nécessité un équipement de réception bien plus complexe.
« À notre connaissance, ces liaisons sont chiffrées, mais nous ne l’avons pas vérifié de manière indépendante », précisent les chercheurs.