MO:SES - Fotolia

Les agences du renseignement écouteraient les communications en vol

Selon des documents collectés par Edward Snowden tout juste révélés, la NSA et le GCHQ, au moins, intercepteraient les données liées aux communications des passagers.

C’est en janvier 2010 que l’Agence nationale pour la sĂ©curitĂ© des systèmes d’information (Anssi) a officiellement lancĂ©, avec le club des directeurs de sĂ©curitĂ© informatique (CDSE) son « passeport de conseils aux voyageurs Â». Fourmillant de prĂ©cieux conseils – notamment en ce qui concerne les pĂ©riphĂ©riques USB, Ă  très juste titre – ce document, toujours disponible en ligne dans sa version d’origine, ne faisait pas mention des services de communication Ă©lectronique aĂ©riens. Et selon les informations du Monde, c’est une omission qui mĂ©riterait d’être corrigĂ©e.

De fait, selon nos confrères, les agences américaine et britannique du renseignement, la NSA et le GCHQ, s’intéressent depuis longtemps aux services de communication électrique proposés par les compagnies aériennes à bord de leurs avions, à commencer par Air France mais pas uniquement.

Citant des documents collectĂ©s par Edward Snowden, Le Monde souligne l’opportunitĂ© que reprĂ©sentent ces services pour ces agences. Avec pour elles la perspective d’une collecte de donnĂ©es en « quasi-temps rĂ©el Â» en passant par des stations de captation des signaux radio satellites au sol. Une approche qui ne manque pas d’une certaine ironie : des pirates utilisent cette dĂ©marche pour exfiltrer de manière totalement furtive des donnĂ©es volĂ©es, en passant par d’innocentes mules utilisant des accès Ă  Internet satellitaires.

Mais la surveillance des communications Ă©lectroniques passĂ©es depuis les vols commerciaux semble avoir commencĂ© au moins en 2005, Air France ayant particulièrement attirĂ© la curiositĂ© des Etats-Unis et du Royaume-Uni. Deux ans plus tĂ´t dĂ©jĂ , la NSA considĂ©rait que la compagnie française Ă©tait tout autant susceptible que Air Mexico d’être utilisĂ©e Ă  son insu pour « un nouveau 11 septembre Â» par des terroristes.

Les services fournis par Inmarsat apparaissent principalement visĂ©s par les services de renseignement qui mentionnent aussi l’opĂ©rateur OnAir. Il s’agit de « collecter tout le trafic, voix et data, mĂ©tadonnĂ©es et contenus des connexions Ă  bord des avions Â».

En 2012, les services du renseignement britanniques faisaient Ă©tat de capacitĂ©s d’écoute sur les vols de nombreuses compagnies : Aeroflot, British Airways, Etihad, Emirates ou encore Lufthansa et Turkish Airlines. Et de suspecter les services russes de s’intĂ©resser Ă©galement Ă  ces prĂ©cieuses communications en vol.

La sĂ©curitĂ© des communications Ă©lectroniques en vol n’est toutefois pas une question nouvelle. DĂ©jĂ , en 2014, outre-Atlantique, certains alertaient sur l’absence de chiffrement du lien radio des services WiFi, ou encore celle d’isolation entre appareils connectĂ©s au mĂŞme point d’accès, au moins sur certaines compagnies aĂ©riennes. Steven Petrow, journaliste de USA Today, a d’ailleurs fait l’expĂ©rience de la faible sĂ©curitĂ© offerte sur ces services en fĂ©vrier dernier : un autre passager a rĂ©ussi Ă  accĂ©der au contenu de son ordinateur personnel en vol. Il faut dire qu’il n’est pas rare de trouver, sur les rĂ©seaux WiFi publics, des ordinateurs dont le partage de fichiers est ouvert Ă  tous les vents.

Mais début 2015, Adrienne Porter Felt, de Google, s’est inquiétée du fait que GoGo, un fournisseur d’accès à Internet en vol, émette lui-même des certificats *.google.com. De quoi procéder à des interceptions des flux SSL même si GoGo assurait alors ne chercher qu’à limiter certains usages pour contrôler la qualité de service.

Comme pour tout service d’accès Ă  Internet public, il apparaĂ®t donc plus que jamais impĂ©ratif d’utiliser, en vol, un VPN. Et de renoncer Ă  utiliser Internet si la connexion VPN Ă©choue. Mi-fĂ©vrier, certains voyageurs rĂ©guliers semblaient d’ailleurs s’inquiĂ©ter de l’impossibilitĂ© d’utiliser leur connexion VPN d’entreprise sur certains vols. 

Pour approfondir sur Protection des données

Close