Sécuriser MAVLink dans les environnements robotiques et UAV connectés.
Architecture Zero Trust pour un protocole conçu pour les liaisons série et désormais opéré sur WiFi, cellulaire et satellite.
Un protocole qui a survécu à son modèle de liaison
MAVLink a été conçu en 2009 pour les connexions série point à point entre un seul pilote automatique et une station au sol. Il supposait une liaison de confiance physiquement isolée. Cette hypothèse s'effondre quand les UAV communiquent via WiFi, 4G et satellite : des liaisons traversant des infrastructures publiques.
Télémétrie en clair. Commandes en clair.
MAVLink v1 et v2 transmettent les coordonnées GPS, l'altitude, le cap, l'état de la batterie et les commandes de contrôle en texte clair. Tout appareil sur la liaison radio ou le chemin réseau peut lire chaque paquet. La signature de messages en v2 authentifie la charge utile, mais ne la chiffre pas.
Secrets partagés sans rotation
La signature MAVLink v2 utilise une seule phrase secrète partagée entre tous les participants. Il n'y a pas de mécanisme de rotation des clés, pas de confidentialité persistante, pas de clés par session. La compromission d'un nœud expose la capacité de signature pour toute la flotte.
Injection de commandes avec du matériel grand public
Un attaquant avec un SDR à 30 $ peut injecter des paquets MAVLink dans la liaison radio. SET_MODE, DO_SET_HOME, MISSION_ITEM — ce sont des commandes protocolaires légitimes qui ne nécessitent aucun exploit. Le pilote automatique n'a aucun mécanisme pour distinguer les expéditeurs autorisés des non autorisés.
Quatre catégories d'attaque MAVLink.
Les menaces MAVLink couvrent la confidentialité, l'intégrité, la disponibilité et la sécurité physique. Chaque catégorie exploite le modèle de confiance natif du protocole — et chacune a des conséquences physiques directes quand la cible est un véhicule en vol.
Confidentialité
La télémétrie diffuse la position GPS, l'altitude, le cap et les données capteurs en clair. Un attaquant peut suivre la position du véhicule, déduire les objectifs de mission et intercepter les flux de capteurs sans transmettre un seul paquet.
Intégrité
Des paquets MAVLink falsifiés peuvent modifier les waypoints, changer les modes de vol ou outrepasser les limites de géofence. L'usurpation GPS via des messages GLOBAL_POSITION_INT rejoués peut dérouter les véhicules vers des emplacements non autorisés.
Disponibilité
L'inondation du bus série MAVLink ou du canal radio avec des messages à haut débit provoque des pertes de messages et des délais de communication. Le véhicule entre en mode failsafe, déclenchant potentiellement un atterrissage non contrôlé en terrain hostile.
Sécurité physique
Les commandes PARAM_SET peuvent modifier les limites d'altitude, la vitesse maximale ou les seuils de failsafe batterie. Ces changements persistent après redémarrage. Un jeu de paramètres compromis peut amener un véhicule à opérer hors de son enveloppe de vol sécurisée.
Overlay Zero Trust pour MAVLink.
Chiffrer. Authentifier. Autoriser.
Un agent WireGuard sur l'ordinateur compagnon de chaque véhicule établit un tunnel chiffré vers l'Access Gate. Le trafic MAVLink est encapsulé avant d'atteindre la liaison radio. Le pilote automatique continue de parler MAVLink standard sur sa connexion série locale. Pas de modifications firmware, pas de modifications protocolaires.
L'Access Gate termine le tunnel, vérifie l'identité cryptographique du véhicule, applique les politiques d'autorisation des commandes et journalise chaque message. Seules les commandes autorisées atteignent la station de contrôle au sol ou la plateforme C2 cloud.
Identité du véhicule
Chaque UAV détient une identité cryptographique unique (paire de clés WireGuard). Pas de secrets partagés, pas de signature par phrase secrète. La compromission d'un véhicule n'affecte pas la flotte.
Vérification continue
Chaque message MAVLink traverse le tunnel chiffré. L'Access Gate vérifie l'identité source sur chaque paquet, pas seulement à l'établissement de la session.
Micro-segmentation
Chaque véhicule communique uniquement avec sa station au sol autorisée ou son endpoint C2. Le mouvement latéral entre véhicules est bloqué par défaut. La compromission de toute la flotte nécessite de compromettre chaque tunnel indépendamment.
Chiffrement de bout en bout
WireGuard fournit un chiffrement authentifié (ChaCha20-Poly1305) avec confidentialité persistante parfaite. Télémétrie, commandes et données capteurs sont chiffrées de l'ordinateur compagnon à l'Access Gate.
Piste d'audit complète
Chaque commande MAVLink, message de télémétrie et changement de paramètre est journalisé avec l'identité du véhicule et l'horodatage. Reconstitution forensique complète après tout incident.
Téléchargez le guide complet sur la sécurité MAVLink.
Obtenez le guide complet de 31 pages : architecture du protocole MAVLink, taxonomie des menaces, approches de remédiation cryptographique, conception de l'overlay Zero Trust, feuille de route d'implémentation et cartographie de conformité réglementaire.
Ce que vous apprendrez
Pourquoi MAVLink n'a pas de chiffrement natif et pourquoi la signature de messages est insuffisante. Comment les quatre catégories d'attaque — écoute, injection, déni de service et manipulation de paramètres — se traduisent en conséquences physiques. Comment un overlay WireGuard fournit un chiffrement de bout en bout sans modifier le firmware du pilote automatique.
Déployez avec Access Gate
Access Gate implémente l'overlay Zero Trust en une seule appliance on-premise. Terminaison de tunnel WireGuard, vérification d'identité des véhicules, autorisation des commandes et journalisation d'audit complète. Pas de modification des pilotes automatiques, pas de dépendance cloud, fonctionne sur tout type de liaison.
Questions fréquentes sur la sécurité MAVLink.
piliers Zero Trust : identité du véhicule, vérification continue, micro-segmentation, chiffrement de bout en bout et audit complet. Appliqués sans modifier un seul pilote automatique.
MAVLink a été conçu pour les connexions série directes entre un pilote automatique et une station au sol. Il transmet les identifiants système, les identifiants de composants et les charges utiles de commandes en clair sans authentification. MAVLink v2 a ajouté la signature optionnelle des messages, mais utilise un secret partagé sans rotation de clés, sans confidentialité persistante et sans chiffrement de la charge utile elle-même. Tout appareil connaissant la phrase secrète peut signer des messages.
Les quatre catégories principales sont : les attaques de confidentialité (écoute passive de la télémétrie, des coordonnées GPS et des flux de capteurs), les attaques d'intégrité (injection de commandes et usurpation GPS par des paquets MAVLink falsifiés), les attaques de disponibilité (inondation du bus série ou de la liaison radio pour provoquer un déni de service), et les attaques de sécurité physique (manipulation des paramètres de vol comme les limites d'altitude ou les seuils de géofence pour causer des dommages physiques).
Oui. Un agent WireGuard fonctionnant sur l'ordinateur compagnon (Raspberry Pi, Jetson) établit un tunnel chiffré vers l'Access Gate. Le trafic MAVLink est encapsulé dans ce tunnel avant de quitter le véhicule. Le pilote automatique continue de parler MAVLink standard sur sa connexion série vers l'ordinateur compagnon. Aucune modification firmware requise.
WireGuard ajoute environ 1-3 ms de surcharge de traitement par paquet sur les ordinateurs compagnons typiques. Pour un taux de télémétrie MAVLink standard de 1-10 Hz, c'est bien dans les limites acceptables. Les commandes de contrôle en temps réel nécessitant une latence inférieure à la milliseconde continuent sur le bus série local entre le pilote automatique et l'ordinateur compagnon. Seule la liaison longue distance est chiffrée.
Oui. Les dérogations FAA BVLOS exigent de plus en plus la démonstration de la sécurité de la liaison de commande et contrôle. CMMC Level 2 exige le chiffrement des CUI en transit, la télémétrie des opérations UAV liées à la défense est concernée. NIS2 impose la sécurité réseau et la détection d'incidents pour les services essentiels. L'overlay Zero Trust fournit le chiffrement, la vérification d'identité, l'autorisation des commandes et la journalisation d'audit complète dans les trois cadres.
