La National Aeronautics and Space Administration des États-Unis, mieux connue sous le nom de NASA, a récemment été victime d'un incident de sécurité qui a vu des pirates s'enfuir avec des données sensibles relatives aux missions de l'agence sur Mars, notamment des détails sur le programme Curiosity rover.
La brèche, qui a touché le Jet Propulsion Laboratory (JPL) de la NASA, n'a pas été détectée pendant 10 mois, selon un rapport du Bureau de l'inspecteur général (OIG) de la NASA.
« En avril 2018, le JPL a découvert qu'un compte appartenant à un utilisateur externe avait été compromis et utilisé pour voler environ 500 mégaoctets de données à l'un de ses principaux systèmes de mission », peut-on lire dans le rapport, attribuant l'intrusion à un groupe APT (pour Advanced Persistent Threat).
Mais tout aussi remarquable est la façon dont la brèche s'est produite. Il s'avère que les pirates ont exploité un Raspberry Pi, qui était attaché au réseau du JPL sans autorisation, comme rampe de lancement pour entrer et se déplacer latéralement sur le réseau.
On ne sait pas qui est à l'origine de l'intrusion, ni même qui a connecté au réseau le petit ordinateur à carte unique, qui ne coûte pas plus de 25 $ US. (Hasard intéressant, il s’avère que la quatrième incarnation de cet appareil a été dévoilée cette semaine.)
Ce qui est tout à fait clair, cependant, c'est que l'OIG n'a pas félicité l’agence spatiale pour son dispositif de cybersécurité.
Échapper la balle
« Au cours des dix dernières années, le JPL a connu plusieurs incidents significatifs en matière de cybersécurité qui ont compromis des segments importants de son réseau informatique, » souligne ce cinglant rapport.
Et cela ne s'arrête pas là, en énumérant une petite liste de lacunes dans les contrôles de sécurité du réseau de la NASA qui mettent ses systèmes et ses données en danger. « Les multiples faiblesses du contrôle de la sécurité informatique réduisent la capacité du JPL à prévenir, détecter et atténuer les attaques visant ses systèmes et réseaux, exposant ainsi les systèmes et les données de la NASA à l'exploitation par les cybercriminels, » ajoute le rapport.
C'est également ce qui s'est produit lors de l'incident Raspberry Pi, qui a été rendu possible en partie par « une visibilité réduite des dispositifs connectés à ses réseaux[de la NASA]. » Cela signifie en fait que les nouveaux dispositifs ajoutés au réseau n'étaient pas toujours soumis à un processus de filtrage par un agent de sécurité et que l'agence ne savait pas que le gadget était présent sur le réseau.
En outre, l'audit a révélé un manque de segmentation du réseau, que les pirates ont finalement exploité pour se déplacer latéralement entre différents systèmes connectés à une passerelle réseau. La passerelle permet aux utilisateurs externes et à ses partenaires, y compris les agences spatiales étrangères, les entrepreneurs et les établissements d'enseignement, d'accéder à distance à un environnement partagé.
De plus, la vérification a permis de constater que les fiches de sécurité, qui comprennent l'application d'un correctif logiciel ou la mise à jour de la configuration d'un système, restaient parfois sans réponse pendant plus de six mois. Cela malgré le fait que les administrateurs système disposaient d'un maximum de 30 jours pour prendre des mesures correctives.
La lenteur de ces progrès a contribué à huiler les rouages de l'intrusion par Raspberry Pi, puisque « l'un des quatre systèmes compromis n'avait pas été réparé en temps opportun pour remédier à la vulnérabilité. »
Les systèmes impliqués dans le Deep Space Network (DSN) de la NASA ont également été touchés. Cela a finalement incité les équipes de sécurité du Centre spatial Johnson, qui gère la Station spatiale internationale, à se déconnecter de la passerelle par crainte que « les cyberattaquants ne se déplacent latéralement de la passerelle vers leurs systèmes de mission, n'accèdent et n'envoient des signaux malveillants aux missions spatiales humaines qui utilisent ces systèmes. »
Le rapport note également que le JPL n'a pas mis en œuvre un programme de chasse aux menaces visant à « poursuivre de manière agressive des activités anormales sur ses systèmes à la recherche de signes de compromission, » mais s'appuie plutôt sur « un processus ad hoc pour rechercher les intrus. »
Le rapport présente de plus dix recommandations. La NASA affirme être d'accord avec toutes ces recommandations, sauf une, pour mettre en place un processus officiel de chasse aux menaces.