Impact of 5G SA Logical Vulnerabilities on UAV Communications: Threat Models and Testbed Evaluation

Cette étude évalue l'impact des vulnérabilités logiques des réseaux 5G SA sur les communications des drones en utilisant un banc d'essai pour démontrer comment des attaques à différents points de l'architecture peuvent perturber les opérations et en conclut sur la nécessité de mesures d'isolation et d'intégrité.

L'essentiel

Voici une explication simple de cette recherche, imaginée comme une histoire de sécurité dans le ciel, avec des analogies du quotidien.

🚁 Le Dilemme des Drones et du Réseau 5G

Imaginez que vous pilotez un drone (un petit avion sans pilote) à distance. Pour qu'il vole, il a besoin de recevoir des ordres en temps réel de votre télécommande (la station au sol). Aujourd'hui, au lieu d'utiliser une radio classique, on utilise le réseau 5G (la nouvelle génération de téléphonie mobile) car il est très rapide et réactif.

C'est comme si votre drone utilisait le réseau de téléphone de votre ville pour parler à votre maison. C'est pratique, mais comme tout ce qui est connecté, cela peut être piraté.

Les chercheurs de cet article ont construit un laboratoire de test (un petit réseau 5G miniature dans un ordinateur) pour voir ce qui se passe si des méchants tentent de détourner le drone. Ils ont imaginé trois scénarios de "méchants" différents.

---

🕵️‍♂️ Les Trois Scénarios de Piratage

1. Le Voisin Malveillant (Le "Mauvais Téléphone" dans le même quartier)

L'analogie : Imaginez que vous et votre drone êtes dans le même immeuble (le même réseau 5G). Un voisin malveillant se connecte au même Wi-Fi que vous.
Ce qui se passe :
Dans ce réseau, si deux appareils sont sur le même "quartier" logique, ils peuvent se voir directement, un peu comme si les portes de vos appartements étaient ouvertes.

• L'attaque : Le voisin scanne le réseau, trouve l'adresse de votre drone, et envoie un message en se faisant passer pour votre télécommande légitime.
• Le résultat : Le drone, qui ne vérifie pas vraiment l'identité de l'expéditeur (il n'a pas de "sceau de sécurité"), pense que c'est vous qui lui ordonnez de se poser d'urgence. Il atterrit au milieu de la rue, même si vous essayez de le faire voler ailleurs.
• La leçon : Il faut que le drone vérifie l'identité de celui qui donne les ordres, comme vérifier une carte d'identité avant d'ouvrir la porte.

2. L'Espion à l'Intérieur de l'Usine (Le Pirate du Cœur du Réseau)

L'analogie : Imaginez que le réseau 5G est une grande usine de tri postal. Le drone et votre télécommande envoient des lettres (des données) à travers cette usine. L'attaquant n'est pas dehors, il est dans l'usine, au bureau du chef (le "Cœur du réseau").
Ce qui se passe :
Le chef de l'usine (le réseau) a des ordres directs pour les camions de livraison (les tunnels de données).

• L'attaque : L'espion, étant dans le bureau, prend un tampon "Annuler" et détruit toutes les lettres destinées au drone. Il envoie un ordre au camion : "Arrête tout, coupe le lien".
• Le résultat : Le drone perd le contact avec vous. Par sécurité, il pense que vous avez disparu et rentre tout seul à la base (ou s'écrase), annulant sa mission.
• La leçon : Même à l'intérieur de l'usine, les portes doivent être verrouillées. Les ordres internes doivent être signés et chiffrés pour que personne, même un employé, ne puisse les falsifier.

3. Le Pont Corrompu (Le Relais Piraté)

L'analogie : Imaginez que le drone et vous êtes connectés par un pont suspendu (le réseau). L'attaquant a pris le contrôle du pont lui-même.
Ce qui se passe :
Même si le message est chiffré entre vous et le drone, le pont doit le déballer pour le faire passer de l'autre côté.

• L'attaque : L'attaquant, qui contrôle le pont, regarde le message en clair pendant qu'il passe. Il voit que vous dites "Vole vers le Nord". Il efface "Nord" et écrit "Vole vers le Sud" avant de remettre le message dans l'enveloppe.
• Le résultat : Le drone reçoit l'ordre, mais c'est un mensonge. Il vole vers le Sud, loin de sa mission, tandis que vous pensez qu'il va vers le Nord.
• La leçon : Il ne suffit pas de protéger le message entre vous et le destinataire. Il faut aussi protéger le chemin (le pont) ou s'assurer que le message a un sceau inviolable qui révèle s'il a été modifié en cours de route.

---

🛡️ La Solution : Comment se protéger ?

Les chercheurs concluent que la sécurité ne peut pas reposer sur un seul verrou. Il faut une défense en profondeur :

1. Pour le drone (La couche application) : Le drone doit avoir un "sceau de signature" sur chaque ordre reçu. Si le message a été modifié (même par un pont corrompu), le drone doit le rejeter. C'est comme vérifier que la signature sur un chèque est vraie avant de l'encaisser.
2. Pour le réseau (La couche infrastructure) : Il faut isoler les zones. Les drones ne devraient pas pouvoir parler directement aux téléphones des voisins sans filtre. Et les ordres internes du réseau doivent être cryptés pour que même un espion à l'intérieur ne puisse pas les changer.
3. Pour le chemin (La couche transport) : Il faut s'assurer que les "ponts" (les antennes et les routeurs) ne peuvent pas lire ou modifier les données en transit sans être détectés.

🎯 En résumé

Ce papier nous dit que si nous voulons utiliser la 5G pour piloter des drones de manière sûre, nous ne pouvons pas faire confiance aveuglément au réseau. Nous devons ajouter des couches de sécurité supplémentaires, comme des signatures numériques et des contrôles stricts, pour éviter qu'un voisin, un espion ou un pont corrompu ne prenne le contrôle de notre drone.

Résumé technique

Voici un résumé technique détaillé de l'article « Impact of 5G SA Logical Vulnerabilities on UAV Communications: Threat Models and Testbed Evaluation » en français.

1. Problématique

Les véhicules aériens sans pilote (UAV) dépendent de communications continues avec leurs stations de contrôle au sol (GCS) pour exécuter des commandes et transmettre de la télémétrie. Bien que les réseaux 5G Standalone (SA) offrent une faible latence et une grande capacité, leur architecture complexe introduit de nouvelles surfaces d'attaque.

L'article identifie que la sécurité des communications UAV-GCS est compromise par des vulnérabilités logiques inhérentes à l'architecture 5G, notamment :

• L'absence de garantie d'isolation stricte entre les appareils connectés au même tranchage réseau (Slice) et au même nom de réseau de données (DNN).
• Le manque de protection cryptographique (intégrité/confidentialité) sur certaines interfaces internes critiques (comme l'interface N4 entre le SMF et l'UPF, ou l'interface N3 entre le gNodeB et l'UPF).
• L'absence de signatures numériques dans les protocoles de commande applicatifs courants (comme MAVLink), rendant les commandes vulnérables à l'usurpation ou à la modification.

2. Méthodologie

Les auteurs ont conçu et déployé un bac à sable (testbed) réaliste pour évaluer l'impact de ces vulnérabilités sur les opérations UAV.

• Infrastructure : Utilisation de Kubernetes (via Kind) pour orchestrer le déploiement conteneurisé des composants.
• Composants 5G :
  • Cœur de réseau (Core) : Implémentation Open5GS (AMF, SMF, UPF, UDM, etc.).
  • Couche d'accès : Simulation via UERANSIM (gNodeB et terminaux UE).
  • Scénario : Un réseau 5G SA unique (PLMN 999/70) avec une seule tranche (SST 1, SD 0x111111) et un DNN IPv4.
• Entités simulées :
  1. Un UAV (simulant la télémétrie et le contrôle via MAVLink).
  2. Une station de contrôle au sol (GCS).
  3. Un agent malveillant (Rogue UE) ou un nœud compromis.
• Approche d'attaque : Trois modèles de menaces distincts ont été simulés pour évaluer les impacts sur les interfaces de contrôle et de données.

3. Modèles de Menaces et Contributions Clés

L'article propose trois modèles de menaces spécifiques, chacun illustrant une faille différente de l'architecture 5G :

A. Modèle de Menace 1 : UE Malveillant (Usurpation de GCS)

• Scénario : Un attaquant se connecte au même slice et au même DNN que l'UAV.
• Vulnérabilité exploitée : L'absence d'isolation stricte entre les UEs au sein d'un même DNN et l'absence de signature dans le protocole MAVLink (utilisé par ArduPilot, PX4, etc.).
• Attaque :
  1. Reconnaissance : Scan du port UDP 14550 pour identifier l'UAV.
  2. Injection de commandes (C2) : L'attaquant usurpe l'identité de la GCS (ID système 255) et envoie un flux massif de commandes MAV_CMD_NAV_LAND.
• Résultat : L'UAV accepte les commandes malveillantes car elles ne sont pas signées, forçant un atterrissage d'urgence et neutralisant la mission, même si la GCS légitime tente d'intervenir.

B. Modèle de Menace 2 : Menace Intérieure (Accès au Cœur de Réseau)

• Scénario : Un attaquant a accès au cœur du réseau 5G (via une compromission de l'infrastructure ou une erreur de configuration) et peut atteindre l'interface N4 (entre le SMF et l'UPF).
• Vulnérabilité exploitée : L'interface N4, souvent considérée comme « de confiance » par les opérateurs, n'est pas toujours protégée par cryptographie (IPsec/TLS) ni par une authentification mutuelle stricte.
• Attaque :
  • L'attaquant s'associe à l'UPF en tant que pair de contrôle.
  • Il effectue un flood de requêtes de suppression de session (Session Deletion Request) en énumérant les identifiants de session (SEID).
• Résultat : Les sessions PDU (et les tunnels GTP-U) sont détruites arbitrairement. L'UAV perd la connexion, déclenche son mode de sécurité (failsafe) et retourne à son point de départ, interrompant l'opération.

C. Modèle de Menace 3 : gNodeB Compromis (Détournement de Navigation)

• Scénario : Un attaquant contrôle un nœud d'accès radio (gNodeB) légitime intégré au réseau.
• Vulnérabilité exploitée :
  1. Le gNodeB doit décrypter le trafic pour le router, ayant ainsi accès au contenu en clair.
  2. L'interface N3 (GTP-U) n'est souvent pas protégée par l'intégrité ou le chiffrement (optionnel selon 3GPP pour des raisons de performance).
  3. Absence de signature applicative.
• Attaque :
  • L'attaquant intercepte le trafic GTP-U au niveau du gNodeB compromis.
  • Il modifie les paquets de commande de navigation (ex: SET POSITION TARGET LOCAL NED) en remplaçant les coordonnées cibles par des valeurs malveillantes.
• Résultat : L'UAV suit les nouvelles coordonnées modifiées sans que l'opérateur ni le réseau ne s'en aperçoivent (attaque de type Man-in-the-Middle au niveau de la couche de transport), détournant le drone vers une zone non désirée.

4. Résultats Expérimentaux

Les expériences menées sur le testbed ont confirmé que :

1. Perturbation opérationnelle : Les attaques peuvent mener à l'interruption totale de la mission (atterrissage forcé, retour à la base) ou au détournement de la trajectoire.
2. Échec des mécanismes de sécurité actuels : Les mécanismes de sécurité par défaut de la 5G (comme l'isolation de slice) sont insuffisants si les politiques de filtrage interne ne sont pas strictes. De plus, l'absence de protection de l'intégrité sur les interfaces N3 et N4 permet des manipulations silencieuses.
3. Faiblesse applicative : L'absence de signature dans MAVLink est un point critique qui rend les attaques de type « usurpation » et « modification de données » triviales une fois l'accès au réseau obtenu.

5. Signification et Recommandations

Cet article met en évidence que la sécurité des communications UAV sur 5G ne peut reposer uniquement sur la sécurité du réseau mobile. Il est impératif d'adopter une approche de défense en profondeur :

• Au niveau Applicatif : Activer systématiquement la signature des messages MAVLink pour garantir l'authenticité et l'intégrité des commandes, indépendamment de la sécurité du réseau sous-jacent.
• Au niveau Réseau (5G) :
  • Activer le chiffrement et l'intégrité sur les interfaces internes critiques (N4, N3), même si cela impacte légèrement les performances.
  • Implémenter des mécanismes d'isolation stricte entre les UEs au sein d'un même DNN (filtrage L2/L3).
  • Surveiller les interfaces N4 pour détecter les anomalies (ex: flood de demandes de suppression de session).
• Architecture : Considérer les nœuds d'accès (gNodeB) et le cœur de réseau comme des zones potentiellement compromises et ne pas faire confiance aveuglément au canal de transport.

En conclusion, la vulnérabilité des UAV sur 5G est systémique, résultant de la combinaison de configurations réseau permissives et de protocoles applicatifs non sécurisés. La résilience nécessite une protection multicouche.