Jusqu’à un passé récent, « jamming » évoquait dans l’imaginaire collectif, y compris celui des pilotes, une célèbre chanson du chanteur des Wailers. Désormais, ce terme est également associé aux systèmes de géolocalisation par satellite. Un autre gérondif l’a rejoint tout récemment : « spoofing ». Ce dernier, lorsqu’on connait le risque associé, ne donne pas du tout envie de partir dans une session musicale improvisée. De quoi s’agit-il ? Où en est-on ? Que fait la police (d’Air France et Transavia) ?
Un peu d’histoire
À l’époque de la première Guerre du Golfe, les systèmes de géolocalisation n’étaient pas encore devenus les « moyens primaires de navigation » des aéronefs civils. D’ailleurs, on s’en méfiait : quid de la qualité du signal ? De la perte de signal ? Les centrales à inertie dérivent tranquillement, mais se recalent avec les moyens sols (VOR-DME/ DME-DME).
30 ans plus tard, l’aéronautique civile a mis tous ses œufs dans le panier du GNSS avec sa myriade de constellations de satellites, du GPS à Galileo en passant par GLONASS. On ne jure que par sa précision, parfois renforcée avec le système SBAS (satellites géostationnaires) ou augmentée avec le GBAS (stations au sol).
On connait, depuis les débuts du GPS, la capacité des USA à moduler la précision du signal des satellites GPS, dont ils ont la propriété, notamment lorsqu’ils sont en guerre à droite ou à gauche, tout en maintenant leurs frappes dites « chirurgicales ». Cette diminution de précision peut conduire au brouillage complet du signal GNSS, autrement appelé « Jamming ». Concrètement, notre récepteur GPS augmente le rayon d’incertitude de sa position jusqu’à nous dire « désolé, je suis incapable de vous dire où on est ». Cette situation présente un risque limité et est pris en compte notamment au niveau de la préparation du vol, et plus précisément de l’accessibilité, puisqu’on ne peut exclusivement retenir des approches type RNP, c’est-à-dire basées sur le GPS, pour vérifier l’accessibilité des terrains de destination et dégagement.
Aujourd’hui, les situations conflictuelles se sont multipliées dans le monde, en particulier en méditerranée et du côté des pays baltes (en avril dernier, la compagnie Finnair a suspendu ses vols vers Tartu en Estonie).
À cette escalade des conflits s’ajoute un fait nouveau nettement plus problématique : le « spoofing ». Ce terme est issu du monde des hackers : il s’agit d’usurper une identité, c’est-à-dire de se faire passer pour un serveur informatique ou une personne physique, afin d’obtenir des accès ou des informations. Dans le cas de la géolocalisation, il s’agit de faire croire à un récepteur GPS qu’il est à un endroit X plutôt qu’un endroit Y. C’est tout simplement indétectable par l’utilisateur du GPS.
L’objectif est militaire : « perdre » les navires ou tromper les missiles pour qu’ils n’atteignent pas leur cible.
Une nouvelle menace
Les militaires ne sont pas seuls à utiliser le GPS, les missiles ne sont pas seuls à agir de manière automatique.
Les avions de ligne sont concernés. Les « dommages collatéraux » peuvent même s’avérer « létaux ». Si un faux ordre GPWS peut prêter à sourire (l’avion croit qu’il approche du relief, alors qu’il en est loin), les conséquences peuvent être dramatiques : en voulant éviter le relief fictif, on se prend un aéronef qui volait juste au-dessus. Sur une approche GNSS en 3D et en IMC, le franchissement des obstacles ne peut plus être garanti (pas de contrôle de la trajectoire en latéral). Il ne reste que la plaque luck : le contrôleur aérien.
Le sujet est tellement pris au sérieux, que, dès mars 2022, l’EASA a publié un SIB (2022-02) qu’il révise régulièrement et dont la dernière mouture date du 5 juillet dernier. Chaque révision est l’occasion de reconnaitre un « peu plus » le risque encouru et d’augmenter la liste des « mesures d’atténuation » à mettre en place pour « contenir » la menace. C’est ainsi qu’initialement, les fausses alertes GPWS n’étaient pas évoquées par l’EASA. C’est le travail commun des délégués syndicaux dans les instances internationales qui a permis de faire écrire dans la version 2023 « Loss or misleading surveillance system (e.g. corrupted Automatic Dependent Surveillance-Broadcast (ADS-B), TAWS (e.g., false PULL UP alert triggered by TAWS during cruising phase), wind shear, terrain and other surface functionalities) ; ».
Enfin, dans la version du 5 juillet dernier on trouve la mention : « Loss of or misleading TAWS (e.g., spurious PULL UP alerts triggered by predictive TAWS during cruise, descent, approach, and landing phase that in some cases resulted in high vertical rate uncoordinated climbs, note that traffic alerts are deprioritised over TAWS PULL UP alerts); ».
Nous regrettons que malgré tous les risques identifiés, l’EASA ose encore écrire : « the safety concern described in this SIB is not considered to be an unsafe condition ». Il est vrai que si elle se mettait à écrire que le niveau de sécurité est diminué du fait du spoofing, alors cela impliquerait d’imposer des mesures coercitives alors qu’actuellement, par exemple, l’EASA se contente d’écrire :
« Air operators should:
• Ensure that flight crews are aware, trained and prepared to recognise and adequately respond to an encounter of GNSS interferences during flight »
ALTER a assisté à la World Overflight Risk Conference qui avait pour objectif d’édifier les opérateurs et de rassurer les assureurs sur le fait que le « business peut continuer as usual » même s’il y a du spoofing et même si les missiles arrosent le ciel.
Responsabilités
Lors de cette conférence, le vol PS752 du 20 août 2020 a été décortiqué sous l’angle juridique/assurantiel.
Pour mémoire, il s’agit de la destruction du Boeing 737-800 d’Ukraine International Airlines peu après son décollage de Téhéran, abattu par la défense antimissile iranienne. 4 jours plus tôt, les USA avaient assassiné le général Qassem Soleimani, conduisant à un « contexte de fortes tensions ». Un procès s’est tenu à Toronto, du fait de la nationalité canadienne de passagers. Le juge canadien a déclaré la compagnie aérienne coupable de négligence entrainant le déplafonnement des indemnités, au titre de la convention de Montréal. En d’autres termes, la compagnie ukrainienne a, selon le juge, fait prendre des risques inconsidérés à ses passagers au regard de la situation géopolitique d’alors.
Air France et Transavia ont-elles raison d’être les dernières compagnies à suspendre leurs vols vers les zones de conflit (Iran, Israël, Liban), à être les premières à les reprendre ? Cette question de sureté mérite d’être appréciée avec ce nouveau risque de « spoofing » qui s’ajoute à tous les autres.
Seuls les pilotes, à l’instar de l’ECA (European Cockpit Association), sont inquiets par la tournure des évènements. L’anniversaire des 10 ans du MH017 à l’occasion de cette conférence n’était pas de nature à nous rassurer.Le Commandant de bord est et reste le dernier rempart pour maintenir le frein de parc serré, pour dire « non, je n’y vais pas » ou, encore plus dur, « non, je ne rentre pas ».
Que font les compagnies aériennes ?
Chez Air France, il existe 2 documents sur le sujet dans PilotLib+ « Gnss Interferences » dans « Opérations > Informations techniques et PERFO » et « Interférences Gnss » dans « SV > Safety Caution » qui évoquent chacun, en détail, les problèmes de « Jamming » et « Spoofing ». Ces documents (« nice to know ») ont le mérite, s’ils sont lus, de nous familiariser avec ces notions d’interférences.
Côté Transavia : circulez, il n’y a (presque) rien à voir ! Pour preuve, la malheureuse note de service de 2022, non mise à jour, intitulée « NDS EAT - 220306 – GNSS outage degradation » a tout simplement disparu des étagères. Mais, cela doit être la faute du stagiaire, à moins que cela soit l’alternant.
Rassurons-nous avec le Safe-T Cockpit #1 2023 qui contient une page indiquant juste qu’il faut se référer au Safe-T-Rex #28 qui a… disparu (en tout cas, il n’est plus entre Safe-T-Rex #27 « TORA ! TORA ! TORA ! » et le Safe-T-Rex #29 « Utilisation INTX OPT Boeing »).
Soyons complet et objectifs : en cherchant bien dans Docu’N’Aide, et sans le moteur de recherche qui ne donne rien, on finit par mettre la main sur Safe-T-Rex #64 « GPS Jamming & Spoofing ». Mais attention : il a été rédigé uniquement pour le B737… L’A320Neo devra attendre. Du côté de la « FlightBox » d’Aviobook, rien sur les vols vers la Grèce ou les pays nordiques par exemple.
Pour les 2 compagnies, aucune formation à l’horizon et encore moins d’entrainement récurrent pour apprendre à reconnaitre et réagir à un « spoofing ». Serions-nous dans le même déni, concernant le « spoofing » que la veille du 1er juin 2009 concernant le risque de décrochage ?
Il ne s’agit pas de s’entrainer à ne pas répondre à une alarme « dure » du GPWS, mais de savoir affuter notre conscience de la situation lorsque le GPS est utilisé comme moyen primaire de survie (cas des approches GNSS).
Le terrible accident de l’AF 447 a entrainé la mise en place de l’UPRT dans le maintien des compétences de tous les pilotes dans le monde.
ALTER exige qu’un SPRT (spoofing Recovery training) soit mis en place, sans attendre un accident dramatique.