Il faut se méfier des périphériques que l’on branche sur un réseau… à condition de les détecter. Dans le cas de la NASA, cela n’a pas été le cas : un Raspberry Pi a été connecté sans vérification préalable au réseau du Jet Propulsion Laboratory. Il a ensuite servi de porte d’entrée pour dérober des informations pendant près d’un an.

Les guides de sécurité informatique ne sont pas rédigés pour la beauté du geste. S’ils existent, c’est justement pour éviter de mettre en péril des informations sensibles à cause d’une imprudence, comme écrire un mot de passe sur un post-it ou bien brancher sur un PC un périphérique qui n’a pas été préalablement contrôlé. Mais de la théorie à la pratique, il y a parfois un monde.

La NASA peut malheureusement en témoigner. Au détour d’un rapport d’inspection du Jet Propulsion Laboratory (JPL) du 18 juin 2019, une coentreprise entre l’agence spatiale américaine et l’institut de technologie de Californie, on apprend qu’un simple Raspberry Pi a servi de point d’entrée à des pirates pour dérober plusieurs centaines de mégaoctets de données sans que personne ne voit quoi que ce soit.

Un banal Raspberry Pi au cœur d’un incident de sécurité

Pour celles et ceux qui ne le savent pas, un Raspberry Pi est un mini PC vendu quelques dizaines d’euros qui occupe les dimensions d’une carte bancaire. Le modèle le plus récent, le Raspberry Pi 4, a été annoncé en juin. Très léger et donc facilement transportable (bien que fragile car ses composants sont exposés), l’appareil permet de faire diverses choses si l’on est un peu dégourdi.

C’est donc cet appareil qui a été branché sans autorisation sur le réseau informatique du JPL. L’histoire ne dit pas qui l’a connecté : est-ce un employé du JPL qui n’a pas fait preuve d’une bonne hygiène informatique ? Ou est-ce un tiers étranger au service qui a pu connecter le Raspberry Pi à une machine sans se faire repérer (lors, par exemple, d’une visite éventuelle des locaux) ?

Toujours est-il l’assaillant a exploité cette faiblesse particulière en ciblant cet ordinateur Raspberry Pi qui n’était pas autorisé à être connecté au réseau du JPL. « Les menaces persistantes avancées passent patiemment et méthodiquement d’un système à l’autre à la recherche de faiblesses dans un réseau pour faire avancer leur attaque », rappelle le rapport.

Raspberry Pi Zero WH

Raspberry Pi Zero WH.

Source : Raspberry

En l’espèce, l’attaquant, « en utilisant un compte d’utilisateur externe, a exploité les faiblesses du système de contrôle de sécurité du JPL pour passer inaperçu dans le réseau du JPL pendant environ 10 mois », poursuit le document. L’incident ayant démarré en avril 2018, ce n’est que relativement récemment — en février 2019 — que le pot aux roses a été découvert et que l’incident a été confiné.

Résultat des courses, ce périphérique a permis pendant une période de temps importante à un ou plusieurs individus d’aspirer environ 500 Mo de données provenant de 23 fichiers, dont 2 contiennent des informations sur la réglementation américaine en matière de trafic d’armes au niveau international. Ces éléments sont liés à la mission Mars Science Laboratory, qui a débuté en 2011 et qui est toujours en cours.

Ce n’est pas tout : l’indésirable appareil a aussi permis d’accéder à deux des trois réseaux primaires du JPL. « En conséquence, la NASA s’est interrogée sur l’intégrité des données du réseau de stations de télécommunications DSN (Deep Space Network) relatives aux systèmes de vol spatial et a temporairement déconnecté du réseau JPL plusieurs systèmes liés au vol spatial », lit-on dans le rapport.

Deep Space Network radar

Deep Space Network

Source : NASA/JPL-Caltech

Des efforts à faire

En principe, le JPL et la NASA alimentent et gardent à jour une base de données (ITSDB : Information Technology Security Database) qui permet de suivre et de gérer tout ce qui est connecté (si c’est un appareil) ou exécuté (si c’est un logiciel) sur ses réseaux. Cependant, l’ITSDB est décrit comme incomplet et inexact, ce qui dénote un problème d’actualisation et de supervision. Cependant, même si l’ITSDB avait été bien à jour, cela ne change rien si l’appareil est branché quand même.

De l’analyse des procédures de sécurité informatique au Jet Propulsion Laboratory, le rapport tire naturellement plusieurs conclusions et émet une série de recommandations. Outre une meilleure utilisation de l’ITSDB, il est demandé une compartimentation plus forte entre le cœur du réseau et les partenaires, mais aussi une surveillance accrue quand ces derniers s’y connectent.

Un suivi plus fin des périphériques connectés au réseau est exigé

Ce niveau d’exigence est d’autant plus nécessaire que la NASA et ses partenaires opèrent et vont opérer davantage de vols spatiaux habités. Outre les allers-retours entre la Terre et l’ISS (qui se font aujourd’hui avec le vaisseau russe Soyouz, mais demain avec des engins opérés par SpaceX et Boeing), il va y avoir aussi des voyages en direction de la Lune et de Mars, d’ici dix à vingt ans.

Or, comme le suggère le rapport, c’est une chose que de dérober des documents. C’en est une autre que d’envoyer des logiciels malveillants pendant des missions habitées. Comme le suggèrent des responsables de la NASA au sein du centre spatial Lyndon B. Johnson, qui s’occupe de ces vols, le risque que des assaillants cherchent à y accéder et « envoyer des signaux malveillants » n’est pas écarté.

Tant que vous êtes là : nous avons une question pour vous.

Nous pensons à l’avenir de Numerama et votre avis compte beaucoup pour nous : pouvez-vous remplir le formulaire ci-dessous ? Cela ne prendra qu’une minute !


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !