Comment la NASA a été hackée
Des hackers sont passés par un Raspberry Pi non autorisé pour s'infiltrer dans le réseau de la NASA et voler 500 Mo de données. Quelles lacunes ont permis une telle cyberattaque contre des systèmes IT aussi critiques que ceux de l’agence spatiale américaine?
Même des secteurs où la sécurité est une question de vie ou de mort sont vulnérables aux cyberattaques. La NASA peut en témoigner. L’agence spatiale américaine a publié un audit révélant que des pirates sont parvenus à infiltrer son réseau en avril 2018. Non détectés durant près d’une année, ils ont volé environ 500 Mo de données concernant ses missions sur Mars. Le piratage a également affecté le Deep Space Network (DSN), un réseau mondial d'antennes paraboliques qui permet de communiquer avec les engins spatiaux.
Comment s’y sont pris les pirates?
Le rapport précise que les attaquants ont tiré profit d’un nano-ordinateur Raspberry Pi connecté de façon non autorisée au réseau du Jet Propulsion Laboratory (JPL), un centre de recherche spatiale lié à la NASA et géré par le California Institute of Technology (Caltech). «L'attaquant, en utilisant un compte d'utilisateur externe, a exploité les faiblesses du système de contrôle de sécurité du JPL pour passer inaperçu sur le réseau pendant environ 10 mois», explique l’audit mené par le bureau de l'inspection générale de la NASA.
Pourquoi l’attaque a-t-elle pu survenir?
L'intrusion d'avril 2018 n’est pas la première ayant touché les systèmes du JPL, qui se caractérisent aujourd’hui par une certaine complexité, provenant notamment d’une importante interconnexion avec l’internet public et d’un partage des tâches avec la NASA et avec des responsable de la sécurité IT de Caltech. De nombreux manquements sont mise en exergue par les inspecteurs internes de la NASA: l'inventaire de la base de données était incomplet et inexact, la visibilité des dispositifs connectés à ses réseaux était réduite et la passerelle réseau du JPL, qui contrôle l'accès des partenaires à un environnement IT partagé, n'avait pas été correctement segmentée afin de limiter l’accès à des utilisateurs approuvés uniquement.
En outre, la NASA n'a pas réussi à établir des accords de sécurité d'interconnexion (ISA) pour documenter les exigences auxquelles les partenaires doivent satisfaire pour se connecter à ses systèmes. La liste ne s'arrête pas là: les tickets enregistrant les problèmes de sécurité n’étaient parfois pas traités dans un délai pouvant s’étendre à 180 jours et les administrateurs système du JPL ont mal compris leurs responsabilités concernant la gestion et l'examen des journaux pour identifier les activités malveillantes. Le rapport mentionne encore des insuffisances dans les outils de surveillance déployés, dans la formation, sans oublier des problèmes de coordination entre les équipes. Le JPL doit maintenant mettre en place les nouvelles politiques et exigences de sécurité. En mars 2019, l'agence spatiale ne les avait pas encore approuvées.
