Cette
brèche n'a été repérée et arrêtée qu'après que les pirates aient parcouru le
réseau sans être détectés pendant presque un an
La National Aeronautics and Space
Administration des États-Unis, mieux connue sous le nom de NASA, a
récemment été victime d’un incident de sécurité qui a vu des pirates s’enfuir
avec des données sensibles relatives aux missions de l’agence sur Mars,
notamment des détails sur le programme Curiosity rover.
La brèche, qui a touché le Jet Propulsion
Laboratory (JPL) de la NASA, n’a pas été détectée pendant 10 mois, selon un rapport du Bureau de l’inspecteur
général (OIG) de la
NASA.
« En avril 2018, le JPL a découvert qu’un
compte appartenant à un utilisateur externe avait été compromis et utilisé pour
voler environ 500 mégaoctets de données à l’un de ses principaux systèmes de
mission », peut-on lire dans le rapport, attribuant l’intrusion à un
groupe APT (pour Advanced Persistent Threat).
Mais tout aussi remarquable est la façon dont la
brèche s’est produite. Il s’avère que les pirates ont exploité un Raspberry Pi,
qui était attaché au réseau du JPL sans autorisation, comme rampe de lancement
pour entrer et se déplacer latéralement sur le réseau.
On ne sait pas qui est à l’origine de l’intrusion,
ni même qui a connecté au réseau le petit ordinateur à carte unique, qui ne
coûte pas plus de 25 $ US. (Hasard intéressant, il s’avère que la quatrième
incarnation de cet appareil a été dévoilée cette semaine.)
Ce qui est tout à fait clair, cependant, c’est que
l’OIG n’a pas félicité l’agence spatiale pour son dispositif de cybersécurité.
Échapper
la balle
« Au cours des dix dernières années, le JPL a
connu plusieurs incidents significatifs en matière de cybersécurité qui ont
compromis des segments importants de son réseau informatique, » souligne
ce cinglant rapport.
Et cela ne s’arrête pas là, en énumérant une petite
liste de lacunes dans les contrôles de sécurité du réseau de
la NASA qui mettent ses systèmes et ses données en danger. « Les multiples
faiblesses du contrôle de la sécurité informatique réduisent la capacité du JPL
à prévenir, détecter et atténuer les attaques visant ses systèmes et réseaux,
exposant ainsi les systèmes et les données de la NASA à l’exploitation par les
cybercriminels, » ajoute le rapport.
C’est également ce qui s’est produit lors de
l’incident Raspberry Pi,
qui a été rendu possible en partie par « une visibilité réduite des
dispositifs connectés à ses réseaux[de la NASA]. » Cela signifie en fait
que les nouveaux dispositifs ajoutés au réseau n’étaient pas toujours soumis à
un processus de filtrage par un agent de sécurité et que l’agence ne savait pas
que le gadget était présent sur le réseau.
En outre, l’audit a révélé un manque de
segmentation du réseau, que les pirates ont finalement exploité pour se
déplacer latéralement entre différents systèmes connectés à une passerelle
réseau. La passerelle permet aux utilisateurs externes et à ses partenaires, y
compris les agences spatiales étrangères, les entrepreneurs et les
établissements d’enseignement, d’accéder à distance à un environnement partagé.
De plus, la vérification a permis de constater que
les fiches de sécurité, qui comprennent l’application d’un correctif logiciel
ou la mise à jour de la configuration d’un système, restaient parfois sans
réponse pendant plus de six mois. Cela malgré le fait que les administrateurs
système disposaient d’un maximum de 30 jours pour prendre des mesures
correctives.
La lenteur de ces progrès a contribué à huiler les
rouages de l’intrusion par Raspberry Pi, puisque « l’un des quatre
systèmes compromis n’avait pas été réparé en temps opportun pour remédier à la
vulnérabilité. »
Les systèmes impliqués dans le Deep Space Network (DSN)
de la NASA ont également été touchés. Cela a finalement incité les équipes de
sécurité du Centre spatial Johnson, qui gère la Station spatiale
internationale, à se déconnecter de la passerelle par crainte que « les
cyberattaquants ne se déplacent latéralement de la passerelle vers leurs
systèmes de mission, n’accèdent et n’envoient des signaux malveillants aux
missions spatiales humaines qui utilisent ces systèmes. »
Le rapport note également que le JPL n’a pas mis en
œuvre un programme de chasse aux menaces visant à « poursuivre de manière
agressive des activités anormales sur ses systèmes à la recherche de signes de
compromission, » mais s’appuie plutôt sur « un processus ad hoc pour
rechercher les intrus. »
Le rapport présente de plus dix recommandations. La
NASA affirme être d’accord avec toutes ces recommandations, sauf une, pour
mettre en place un processus officiel de chasse aux menaces.