Le piratage d’un objet flottant au-dessus de notre planète (ou de n'importe quelle autre, d'ailleurs) peut s’apparenter à une quête du Graal des temps modernes pour les acteurs malveillants. Mais ne vous inquiétez pas, des experts veillent au grain.
Parce que dès que quelque chose est brisé dans l’espace, les conséquences peuvent être lourdes. Parlez-en à n'importe quel fan de film de science-fiction.
Mais à part ce public, qui d'autre s'en soucie? Le NIST, pour commencer. L'Institut national américain des normes et de la technologie (NIST), qui n'est pas chargé de faire appliquer la loi, espère réunir les parties susceptibles de toucher au code et au matériel spatiaux et fournir des lignes directrices, afin de lancer une sorte de conversation internationale entre les fournisseurs d'ordinateurs spatiaux, dans l'espoir d'assurer leur sécurité au cours du cycle de vie de plusieurs décennies prévu pour les objets en orbite. En parlant des agences américaines, qui aura exactement son mot à dire sur les politiques spatiales, et les autres pays devront-ils être d'accord?
Alors que le débat fait rage, Matt Scholl, du NIST, s'est exprimé lors de la récente conférence Inaugural Space Cybersecurity Symposium : Access for Start-ups. Il a alors qualifié le NIST de « calibrateurs des calibrateurs », un descriptif qui semble approprié pour fixer des attentes élevées en matière de sécurité. Et comme le NIST a l'habitude d'élaborer des cadres raisonnablement utiles que les gens sont libres de mettre en œuvre, il semble bien qu'il puisse contribuer à définir ces attentes et au moins asseoir les acteurs du monde spatial à la table des négociations.
Quels types d’incidents peuvent survenir dans l'espace?
Le premier type d’incident qui peut entraîner des conséquences délétères est le blocage des communications avec le dispositif, car cela compliquerait beaucoup les vols permettant de dépanner une extrémité distante, ou de faire quoi que ce soit d'autre sur votre PC interstellaire.
Comment éviter cela? Après tout, les risques dans l'espace sont naturellement augmentés, ce qui rend notamment la révision du code et le renforcement encore plus importantes dans cet environnement.
De plus, soyez moins expérimental dans les domaines qui ont une longue et ennuyeuse histoire de sécurité. N'inventez pas votre propre chiffrement, par exemple. Créer un chiffrement sécuritaire s’avère extrêmement complexe; inventer le vôtre serait presque inévitablement une recette de sécurité inefficace, voire désastreuse.
En matière de chiffrement, il ne s'agit pas seulement d'utiliser des technologies éprouvées, mais comme votre métal volant risque de rester là pendant des décennies, il est judicieux d'utiliser des algorithmes de chiffrement récents qui résistent mieux au déchiffrement de la cryptographie quantique. Le grand nombre AES (Advanced Encryption Standard) est résistant aux attaques quantiques, par exemple, alors que RSA ne l'est pas.
En effet, le NIST dispose d'une liste de standards de chiffrement acceptables, tandis que nous devrons vraisemblablement attendre les normes de chiffrement quantique encore de 2 à 5 ans. Mieux encore : vous pouvez mettre en œuvre une agilité cryptographique, au cas où on viendrait à découvrir dans les prochaines années que la vôtre s'avère finalement peu sûre. À quels outils et mesures de cybersécurité développés il y a 20 ans faites-vous confiance? Poser la question c’est y répondre. Voilà qui illustre bien les difficultés de la cybersécurité spatiale.
L'interopérabilité avec les partenaires technologiques est également importante, car vous ne construirez pas toute la chaîne. Si vous construisez des satellites, vous ne construirez probablement pas, les systèmes de livraison, par exemple. Cependant, les problèmes d'un système peuvent rapidement entraîner des problèmes pour les autres.
LIRE LA SUITE : Opération In(ter)ception : Les entreprises aérospatiales et militaires dans la ligne de mire de cyberespions
L'un des principaux points d'entrée du piratage est constitué par les installations des stations terrestres, puisqu'elles représentent l'accès aux liens de communication avec les équipements stellaires. La sécurité fait donc l'objet d'une attention renouvelée, notamment par l'utilisation de tokens durs pour l'authentification/identification et la mise en œuvre de processus solides tels que les cadres de cybersécurité SP-800-53 et SP-800-39 du NIST pour la gestion des risques. Si les pirates parvenaient à refuser le service au niveau de la station terrestre, on peut entrevoir de sérieux problèmes, puisque les attaquants parviendraient alors à en couper le cordon ombilical en quelques sortes.
Les meilleures pratiques standard qui ne sont PAS nécessaires dans l'espace, comme le verrouillage de l'écran, sont également intéressantes. D'accord, quelqu'un peut s'approcher et accéder au clavier, voire même insérer une clé USB inconnue, trouvée dans le parking, mais il lui faudra faire un voyage très coûteux pour y arriver, ce qui rendra ce vecteur d'attaque inhabituellement improbable, du moins pendant un certain temps.
Et même si les attaques cinétiques donnent de bonnes intrigues de film, elles sont beaucoup moins probables que le piratage. N’importe qui remarquerait sans doute le lancement d’un missile sur son satellite bien plus tôt qu’il ne détecterait un intru scrutant discrètement les ports de son réseau de stations terrestres.
L'espace, un environnement en ébullition
L'espace est définitivement en train de devenir hot pour les start-ups. Il est toutefois intéressant de noter que ce phénomène est également lié aux ambitions nationales, l'avantage du premier arrivé contribuant à la fierté nationale. Ainsi, alors que les startups sont préoccupées par la rapidité du déploiement, les nations devront se débattre avec l'impact de ce phénomène sur leurs priorités, qui prendront de nombreuses années à définir et à mettre en œuvre. Et si les États-nations peuvent attendre des années pour réussir quelque chose, les startups ne le peuvent pas.
EN SAVOIR PLUS : Des pirates s’en prennent à la NASA et volent des données sur la mission sur Mars
Il existe cependant une sorte de projection/corollaire entre le développement de la scène des start-ups commerciales et la supériorité nationale dans l'espace, ce qui incite les nations à apporter leur aide, même si leurs facteurs de motivation ne sont pas identiques. Les nations, cependant, peuvent ajouter des obstacles importants pour les petites entreprises, les obligeant à aller ailleurs pour faire des affaires.
Bien que le NIST soit une agence américaine, il s'agit clairement d'une conversation internationale, et il faut espérer que ses efforts aboutiront à une collaboration constructive et à l'établissement de normes, puisqu'il n'agit que dans une capacité de non-application. Le NIST indique que sa base de données nationale sur les vulnérabilités (NVD) et son centre de ressources sur la sécurité informatique (CSRC) sont des ressources utiles.
Quoi qu'il en soit, il convient de régler les problèmes dès maintenant afin d'éviter les problèmes dans l'espace, où même si un degré de résilience plus élevé est intégré, il est toujours extrêmement difficile d'essayer d'éteindre et de rallumer son ordinateur. Il est préférable, au contraire, de mettre en place une fonction de « dégradation gracieuse », qui permet aux systèmes de tomber en panne avec un peu plus de grâce et de ne pas faire des choses qui se terminent par des plongeons métalliques enflammés lors de la rentrée dans l'atmosphère.
Vous voulez pirater l'espace tout en luttant pour les héros du camp du bien? C’est votre chance! DEF CON prévoit des exercices de piratage spatial cette année, alors que l'armée de l'air américaine organise l’exercice « Hack A Sat ».
Maintenant, revenons à ce thriller de science-fiction où l'on peut entendre les explosions dans l'espace, même si, vous le savez peut-être, ce n’est pas la réalité. Nokia a remporté l’appel d’offre pour fournir la 4G sur la lune, au cas où nous devrions abandonner la planète soudainement et devions opter pour la connectivité spatiale rapidement. Vous devrez apporter de l'eau, et probablement de la crème solaire. « Petit » détail : vous aurez également besoin d'air, en plus de plusieurs petits articles nécessaires pour surmonter les obstacles techniques. Alors, si vous décidez de préparer vos bagages dès maintenant pour ce voyage interstellaire, la réservation du vol devra attendre.