Les réseaux et protocoles ferroviaires
Introduction
Quel que soit le type de système de transport (routier, aérien ou ferroviaire), le besoin en traitements informatiques embarqués et au sol, pouvant communiquer, est de plus en plus important. Au niveau d’un véhicule de transport (wagon et/ou motrice), ces traitements informatiques, de plus en plus complexes et de plus en plus distribués, concernent, entre autres, le contrôle-commande, la signalisation, la surveillance en continu des équipements du véhicule, la détection, et le diagnostic au plus près des équipements embarqués afin de rendre le système de transport toujours plus maintenable, plus fiable et sécuritaire (dans le sens de la réduction des risques d’accident et non dans le sens de la cybersécurité, c’est-à-dire dans le sens de la réduction du risque d’intrusion) tout en conservant un coût acceptable pour le constructeur, pour l’utilisateur et pour la société.
Associé au développement de l’instrumentation embarquée intelligente (c’est-à-dire des capteurs et des actionneurs capables de faire des prétraitements et ayant des capacités de communication avec d’autres instruments et d’autres unités de traitement), le nombre de connecteurs hétérogènes et de câbles utilisés...
Les deux catégories d’équipements d’un système de transport
Actuellement, du point de vue de la connectivité, un système de transport guidé peut être décomposé en deux catégories d’équipements qui cohabitent [APTA, 2010] :
-
D’une part, les équipements non informatisés (ou « historiques ») qui remplissent des exigences de sûreté de fonctionnement précises (généralement validés via des méthodes intrinsèques). Dans cette catégorie se retrouvent tous les équipements n’ayant pas de processeurs et/ou n’ayant pas de possibilité d’être connectés avec des réseaux extérieurs (niveau de connectivité très faible). Par exemple : les systèmes de logique à relais...
-
D’autre part, les équipements informatisés, qui remplissent également des exigences de sûreté de fonctionnement (mais qui ont été validés via des méthodes probabilistes). Ce sont principalement des systèmes à base de processeurs, ayant des possibilités de connexions et d’intégrations fortes avec d’autres systèmes du système de transport (comme les centres de contrôle du trafic) ou avec des systèmes extérieurs (par...
Les réseaux de communication
Les besoins opérationnels liés à un système de transport guidé nécessitent de pouvoir, à tout moment, surveiller, diagnostiquer et communiquer avec l’ensemble des véhicules ferroviaires du réseau. Ainsi, les réseaux de communication, qu’ils soient filaires ou sans fil, sont au centre du système de transport et remplissent un ensemble de services pour les cheminots et pour les passagers.
1. Les réseaux de communication filaires
Il existe deux catégories de réseaux filaires : les réseaux filaires utilisés au niveau de l’infrastructure et les réseaux filaires embarqués dans les trains.
Concernant les réseaux utilisés au niveau de l’infrastructure, ils servent à relier l’ensemble des équipements de la voie au poste de contrôle et de gestion du trafic. De ce fait, sur la voie, se trouvent notamment les équipements servant à la communication et au système de signalisation et de gestion du trafic : stations de base du système GSM-R (Global System for Mobile communication for Railways), balises KVB (contrôle de vitesse par balises), Eurobalises, circuits de voie pour la TVM (transmission voie-machine)... (voir la section Les réseaux de communication sans fil).
Les réseaux embarqués à bord des trains remplissent, quant à eux, de nombreuses fonctions. Outre les messages d’information à destination des passagers (numéro du train, destination, prochaine gare...), les réseaux de communication embarqués servent à la transmission des données utilisées, entre autres, pour le contrôle et la commande des équipements embarqués (traction, freinage, ouverture et fermeture des accès voyageurs, régulation de la HVAC - Heating, Ventilation and Air-Conditioning signifiant chauffage, ventilation et climatisation -, transmission des signaux de voie), la surveillance de ces mêmes équipements, la détection des défaillances, le diagnostic... [Clarhaut et al., 2011].
a. Le réseau TCN
Les premiers développements de réseaux de communication filaires embarqués dans les transports ferroviaires ont abouti à l’obtention, soit de systèmes spécifiques...
Les vulnérabilités des réseaux de communication
Ces réseaux sont utilisés pour la surveillance et la gestion du trafic ferroviaire et comportent une partie filaire et une partie sans fil. Ainsi, leur structure globale est la suivante :
-
L’utilisation de balises (ou de circuits de voie pour la TVM en France) placées sur ou à proximité de la voie permettant de fournir des informations (contenant un code correcteur d’erreurs mais qui sont non cryptées et non authentifiées) de conduite et de signalisation pour le conducteur.
-
La généralisation, en Europe, du système GSM-R permettant la communication entre les postes de régulation du trafic (via les BSS) et les trains avec, à long terme (ETCS niveau 3), la transmission continue des informations de conduite et de signalisation.
Ces systèmes sont conçus afin de garantir le maximum de sécurité pour le système de transport, c’est-à-dire de réduire au minimum les risques d’accident et d’incident (déraillements, collisions...). De ce fait, dès qu’une défaillance apparaît sur un système embarqué et/ou sur un système de l’infrastructure, les trains impactés sont arrêtés en pleine voie. Le système est alors considéré comme « sûr » en attendant sa prise en charge.
Bien que la partie filaire (embarquée et au niveau de l’infrastructure) comporte des vulnérabilités, c’est la partie sans fil qui est la plus susceptible d’être soumise aux attaques [NSTAC, 2003], [Craven, 2004], [Hartong, 2009]. Cependant, du point de vue d’une cyberattaque, bien que plusieurs études aux États-Unis [TRB, 2003] ont démontré les vulnérabilités au niveau de la gestion du trafic et de la signalisation, il sera néanmoins difficile de créer une situation engendrant le déraillement d’un train [Bloomfield et al., 2010]. Par contre, une attaque engendrant un déni de service au niveau de la signalisation et de la gestion du trafic est possible et provoquerait l’arrêt des trains impactés en pleine voie pendant une durée plus ou moins longue. Les conséquences financières d’une...
Bibliographie
[APTA, 2010] : American Public Transportation Association (APTA), Securing control and communications systems in transit environments - Part 1 : Elements, Organization and Risk Assessment/Management, APTA SS-CCS-RP-001-10, 2010.
[Bailey, 1995] : Bailey, C., European Railway Signaling, The institution of railway signal engineers, A & C Black Publishers Ltd, ISBN : 978-0713641677, 1995.
[Ben Slimen, 2009] : Ben Slimen, M. N., Recherche de procédures de caractérisation de l’environnement électromagnétique ferroviaire adaptées au contexte des systèmes de communications embarqués, thèse de doctorat, université de Lille 1, 18 décembre 2009.
[Blau, 2009] : Blau, J., Open source effort to hack GSM, IEEE Spectrum, http://spectrum.ieee.org/telecom/wireless/open-source-effort-to-hack-gsm, 2009.
[Bloomfield et al., 2010] : Bloomfield, R., Stroud, R., Gashi, I., Information security audit of ERTMS, Technical Report, 2010.
[Braband, 1997] : Braband, J., Safety and security requirements for an advanced train control system, Proceedings of the 16th International Conference on Computer Safety, Reliability and Security (Safecomp’97), York, Springer eds., 1997.
[CENELEC, 2010] : CENELEC, EN 50159-2, Railway applications : signalling and communications - safety related communication in open transmission systems, 2010.
[Clarhaut et al., 2011] : Clarhaut...