GNSS : Risques & Résilience
Plongée au cœur de la robustesse de la navigation pour systèmes autonomes. Analyse des menaces, architectures de fusion multi-capteurs (RTK, VIO/SLAM), algorithmes de filtrage (EKF), et stratégies de contre-mesures actives et passives.
🔎 Exploration Approfondie de la Résilience GNSS
- ⚔️ Menaces : Jamming & Spoofing
- 🏗️ Architectures Résilientes
- 🧠 Algorithmes de Fusion
- 📈 Supervision & Contre-mesures
Anatomie des Attaques sur le Signal GNSS
Les signaux GNSS, en provenance de satellites à plus de 20 000 km, sont extraordinairement faibles lorsqu'ils atteignent la Terre (~ -125 dBm), les rendant vulnérables. Comprendre l'adversaire est la première étape pour construire une défense efficace.
Brouillage (Jamming) : Le déni de service RF
Le brouillage consiste à émettre un bruit radio de forte puissance sur les fréquences GNSS pour dégrader le rapport Signal/Bruit (SNR), ou plus précisément le $C/N_0$ (Carrier-to-Noise Density). Le récepteur est alors "aveuglé", incapable de distinguer les signaux satellites du bruit ambiant.
Spectre du signal GNSS L1 : en temps normal (gauche) et pendant un brouillage à large bande (droite), où le plancher de bruit submerge complètement les signaux.
Types de Brouilleurs :
| Type | Description | Efficacité |
|---|---|---|
| À large bande (Barrage) | Émet un bruit blanc sur toute la bande de fréquence. Simple mais gourmand en énergie. | Modérée |
| À balayage (Swept) | Concentration de l'énergie sur une bande étroite qui balaye rapidement la fréquence cible. Plus efficace. | Élevée |
| À impulsion (Pulsed) | Émet de courtes impulsions de haute puissance. Difficile à filtrer pour l'AGC. | Très élevée |
Leurre (Spoofing) : L'usurpation d'identité céleste
Le leurre est une attaque bien plus sophistiquée. L'attaquant génère de faux signaux GNSS qui imitent les vrais, mais avec des informations de temps ou de position erronées. L'objectif est de "capturer" le récepteur pour lui faire calculer une position ou une trajectoire choisie par l'attaquant, sans que l'utilisateur s'en aperçoive.
Illustration d'une attaque par leurre (spoofing) où le drone est subtilement dévié de sa trajectoire prévue.
Une attaque réussie se déroule en deux phases : d'abord, synchronisation avec les signaux authentiques, puis augmentation progressive de la puissance des faux signaux pour que le récepteur s'y verrouille sans détecter de saut brutal.
Construire la Forteresse : Solutions Matérielles et Logicielles
La résilience n'est pas une option unique, mais une stratégie de défense en profondeur. Elle combine des composants matériels spécialisés, une redondance intelligente et une architecture logicielle robuste.
🛡️ Boucliers Matériels : Au-delà du simple récepteur
L'antenne est la première ligne de défense. Une antenne omnidirectionnelle simple est une porte ouverte aux attaques. Les systèmes avancés utilisent :
- Antennes multi-fréquences (L1/L2/L5) : Permettent de détecter le leurre par les distorsions qu'il introduit entre les bandes, et de mitiger certains brouillages à bande étroite.
- Antennes à diagramme de rayonnement contrôlé (CRPA - Controlled Reception Pattern Antenna) : C'est la solution de pointe. Une CRPA utilise un réseau de plusieurs éléments d'antenne. En traitant le signal de chaque élément, elle peut "former" des nuls dans son diagramme de réception, annulant ainsi numériquement la puissance d'un ou plusieurs brouilleurs tout en continuant à écouter les signaux satellites.
🤝 Redondance et Diversité : Ne jamais mettre tous ses œufs dans le même panier
L'architecture d'un système robuste repose sur la diversité des capteurs :
- Double récepteur GNSS : Utiliser deux récepteurs GNSS de marques ou de firmwares différents. Une attaque qui tromperait l'un pourrait être détectée par l'autre en raison de leurs algorithmes de traitement distincts.
- Unité de Mesure Inerte (IMU) : Un accéléromètre et un gyroscope fournissent une navigation à l'estime à court terme. Une IMU de haute qualité (tactical grade) est cruciale pour limiter la dérive lorsque le GNSS est perdu.
- Odometrie Visuelle Inerte (VIO) : Des caméras suivent des points de repère dans l'environnement pour estimer le mouvement du drone. C'est une source de positionnement relatif totalement indépendante du GNSS.
- Autres capteurs : Altimètre barométrique (pour la hauteur), magnétomètre (pour le cap), et même LiDAR pour le SLAM (Simultaneous Localization and Mapping) peuvent tous contribuer à l'estimation de la position.
Architecture de Fusion de Données
Le Cerveau de l'Opération : Les Filtres de Fusion
Avoir de multiples capteurs, c'est bien. Savoir comment fusionner leurs données, souvent bruitées et parfois contradictoires, est la clé de la résilience. C'est le rôle des algorithmes de filtrage.
Le Filtre de Kalman Étendu (EKF) : Le roi de l'estimation
Imaginez un dialogue continu entre un "prédicteur" (qui estime où le drone sera à l'instant suivant en se basant sur sa vitesse et les commandes) et un "correcteur" (qui ajuste cette prédiction en fonction des mesures réelles des capteurs). C'est l'essence du filtre de Kalman.
L'EKF est une version non linéaire qui gère les rotations complexes (attitude) du drone. Il maintient une "croyance" sur l'état du drone, représentée par un vecteur d'état et une matrice de covariance (l'incertitude associée).
À chaque étape, le filtre :
- Prédit : Propage l'état et l'incertitude en utilisant le modèle de mouvement (IMU).
- Met à jour : Compare la prédiction aux nouvelles mesures (GNSS, VIO). La différence (l'innovation) est utilisée pour corriger l'état, en pondérant par le "Gain de Kalman" qui fait plus confiance aux mesures les moins incertaines.
Au-delà de l'EKF : UKF et Filtres à Particules
Pour les systèmes très non-linéaires, l'EKF peut avoir des difficultés. Des alternatives existent :
- Unscented Kalman Filter (UKF) : Au lieu de linéariser la dynamique, l'UKF utilise un ensemble de points (sigma points) choisis intelligemment pour capturer la vraie distribution de l'incertitude. Il est souvent plus précis et plus stable que l'EKF.
- Filtre à Particules : Une approche très différente qui représente l'incertitude par un grand nuage de "particules", chacune étant une hypothèse de l'état réel. Très puissant pour les problèmes complexes (ex: SLAM), mais beaucoup plus lourd en calcul.
Analogie : Le GPS et le chien en laisse
Pensez à votre drone comme à un chien en laisse (l'IMU). Vous (le filtre de Kalman) avez une idée de l'endroit où il se trouve en sentant la tension sur la laisse, même les yeux fermés. C'est la prédiction.
De temps en temps, vous ouvrez les yeux pour le localiser précisément. C'est la mesure GNSS.
Si la laisse tire fort à gauche mais que vous le voyez à droite, vous savez que quelque chose cloche (détection d'anomalie).
Si le brouillard se lève (perte GNSS), vous pouvez toujours le suivre approximativement avec la laisse (navigation inertielle) pendant un certain temps avant que l'incertitude ne devienne trop grande.
Garder l'Œil Ouvert : Supervision et Contre-Mesures Actives
Une architecture résiliente doit être capable non seulement de survivre à une attaque, mais aussi de la détecter, de l'identifier, et d'y répondre. Cela passe par une supervision constante et des algorithmes de vérification d'intégrité.
📈 Le Tableau de Bord de l'Intégrité : Métriques à Surveiller
Un système de supervision efficace doit suivre en temps réel un ensemble d'indicateurs de santé du GNSS :
- $C/N_0$ (Carrier-to-Noise Density) : La métrique la plus importante de la qualité du signal pour chaque satellite. Une chute soudaine et généralisée est un signe quasi certain de brouillage.
- AGC (Automatic Gain Control) : Le gain appliqué par le récepteur pour amplifier le signal. S'il atteint son maximum, c'est que le récepteur essaie de compenser un plancher de bruit très élevé (brouillage).
- Pseudorange Residuals : L'écart entre la pseudodistance mesurée et celle prédite par la solution de navigation. Des résidus élevés et persistants sur un satellite indiquent un problème.
- Cohérence de l'horloge : Vérifier que les biais d'horloge des différentes constellations (GPS, Galileo, etc.) restent cohérents entre eux. Un spoofer aura du mal à les simuler tous parfaitement.
🛡️ RAIM/FDE : Le filet de sécurité statistique
Le Receiver Autonomous Integrity Monitoring (RAIM) est un algorithme qui utilise la redondance des mesures (avoir plus de satellites que le minimum requis) pour vérifier leur cohérence. Il fonctionne en calculant une solution de navigation en excluant un satellite à la fois et en comparant les résultats.
Si une incohérence est détectée (Fault Detection), le système peut aller plus loin avec le FDE (Fault Detection and Exclusion) pour identifier le satellite défaillant (ou leurré) et le retirer du calcul de la position, maintenant ainsi l'intégrité de la navigation.
RAIM détecte que la mesure du satellite SV6 est incohérente avec le consensus des cinq autres, permettant son exclusion.
🔒 L'Avenir : Authentification du Signal
La solution ultime au leurre est l'authentification cryptographique des signaux GNSS. Deux initiatives majeures sont en cours :
- Galileo OSNMA (Open Service Navigation Message Authentication) : Déjà en phase de test public, OSNMA permet au récepteur de vérifier que les données de navigation qu'il reçoit proviennent bien des satellites Galileo et n'ont pas été altérées. Il utilise une signature numérique transmise sur le signal.
- GPS Chimera : Le futur signal du GPS (prévu pour les satellites GPS III) inclura une fonctionnalité similaire, rendant le leurre par simple rejeu de signal beaucoup plus difficile.
L'adoption de récepteurs compatibles avec ces technologies sera un pas de géant pour la sécurité des systèmes autonomes.