Dans un rapport d’audit publié récemment par le bureau de l’inspecteur général (BIG) de la NASA, le bureau a signalé qu’en avril 2018, des pirates informatiques ont violé le réseau de l'agence spatiale et ont volé environ 500 mégaoctets de données relatives aux missions sur Mars. Selon le rapport d’étude, les pirates auraient infiltré le réseau JPL (Jet Propulsion Laboratory), un centre de recherche et de développement de la NASA financé par le gouvernement fédéral situé à Pasadena, en Californie. Le rapport recense également d’autres incidents de violation de données et de vol d’informations sur les différentes missions de l’agence.
D’après le rapport du BIG de la NASA, au cours des 10 dernières années, JPL a connu plusieurs incidents de cybersécurité notables qui ont compromis des segments importants de son réseau informatique. En 2011, des pirates informatiques ont obtenu un accès complet à 18 serveurs prenant en charge des missions clés du JPL et auraient volé environ 87 gigaoctets de données. Plus récemment, en avril 2018, JPL a découvert qu'un compte appartenant à un utilisateur externe avait été compromis et utilisé pour voler environ 500 mégaoctets de données à l'un de ses principaux systèmes de mission.
Le BIG a informé à travers le rapport que le JPL traîne de nombreuses faiblesses de contrôle de sécurité informatique qui limitent sa capacité à prévenir, détecter et limiter les attaques ciblant ses systèmes et ses réseaux. Cette faiblesse du système de sécurité du JPL expose les différents systèmes et les données de la NASA à diverses attaques des cybercriminels. JPL utilise sa base de données ITSDB (Information Technology Security) pour suivre et gérer les actifs physiques et les applications sur son réseau. Cependant, l’audit a révélé que l’inventaire de la base de données était incomplet et inexact, une situation qui met en péril la capacité du JPL à surveiller, à signaler et à réagir efficacement face aux incidents de sécurité.
Selon le BIG, les administrateurs système ne mettent pas systématiquement à jour le système d'inventaire lorsqu'ils ajoutent de nouveaux périphériques au réseau. Plus précisément, il a été constaté que 8 des 11 administrateurs système responsables de la gestion des 13 systèmes de l’échantillon d'étude tiennent un tableau de stock d'inventaire distinct de leurs systèmes, à partir duquel ils mettent périodiquement à jour les informations manuellement dans la base de données ITSDB. De plus, un administrateur système a déclaré qu’il ne saisissait pas régulièrement de nouveaux périphériques dans la base de données ITSDB, car la fonction de mise à jour de la base de données ne fonctionnait pas parfois. Il a ensuite oublié de saisir les informations relatives à la ressource.
Par conséquent, des ressources peuvent être ajoutées au réseau sans être correctement identifiées et vérifiées par les responsables de la sécurité. Ainsi, pour la cyberattaque d'avril 2018, celle qui a permis aux attaquants de dérober environ 500 mégaoctets de données concernant les diverses missions de la NASA sur la planète Mars a exploité cette faiblesse particulière lorsque le pirate informatique a accédé au réseau JPL en ciblant un ordinateur Raspberry Pi non autorisé à être connecté au réseau JPL. Les pirates informatiques ont utilisé ce point d’entrée pour s’infiltrer au sein du réseau JPL, tout en piratant une passerelle de réseau partagée.
Cette action a permis aux attaquants d’obtenir un accès aux serveurs qui stockent les informations sur les missions portant sur la planète Mars gérées par le laboratoire JPL de la NASA, à partir desquelles ils ont ensuite exfiltré environ 500 mégaoctets de données. Le cyberattaquant de l’incident d’avril 2018 a exploité le manque de segmentation du réseau JPL pour se déplacer entre divers systèmes connectés à la passerelle, y compris plusieurs opérations de mission JPL et le DSN. En conséquence, en mai 2018, des responsables de la sécurité informatique du Johnson Space Center (Johnson) qui gère des programmes tels que le véhicule d'équipage polyvalent Orion et la station spatiale internationale ont alors choisi de se déconnecter temporairement de la passerelle pour des raisons de sécurité.
Les responsables craignaient en effet que les cyberattaquants ne passent latéralement de la passerelle à leurs systèmes de mission, obtenant potentiellement un accès et envoyant des signaux malveillants aux missions de vols spatiaux habités utilisant ces systèmes. Dans le même temps, les responsables de la sécurité informatique de Johnson ont cessé d'utiliser les données DSN, car ils craignaient que celles-ci ne soient corrompues et peu fiables. Johnson a rétabli sa connexion de passerelle en novembre 2018 et a rétabli l'utilisation de données de vaisseau spatial limitées en mars 2019.
Cela dit, le bureau de l’inspecteur général de la NASA n’a pas mentionné de noms liés directement à l’attaque d’avril 2018. Néanmoins, certains supposent que cela pourrait bien être lié aux agissements du groupe de piratage chinois connu sous le nom de Advanced Persistent Threat 10, ou APT10, qui ont conduit les États-Unis a accusé en décembre dernier, la Chine de cyberespionnage de plusieurs entreprises locales et de certaines agences nationales américaines. Selon la plainte, les investigations ont montré qu’une campagne de phishing a permis aux espions de voler des centaines de gigaoctets de données en accédant à au moins 90 ordinateurs dont des ordinateurs de sept sociétés des technologies aéronautique, spatiale et satellitaire, de trois sociétés de communication, d'un laboratoire national du département américain de l'Énergie, ainsi que du Goddard Space Flight Center et du Jet Propulsion Laboratory de la NASA.
L’acte d’accusation mentionne également qu’à partir de 2014, APT10 avait procédé par des attaques Cloudhopper en ciblant les MSP auxquels le procureur général Rod Rosenstein a fait référence lors de la conférence de presse du jeudi comme « des entreprises de confiance pour stocker, traiter et protéger les données commerciales, y compris la propriété intellectuelle et d'autres informations commerciales confidentielles ». Étaient-ils concernés pour l’attaque d’avril 2019 ? Pour le moment, aucune réponse à ce propos ne figure dans le rapport du bureau de l’inspecteur général de la NASA.
Source : Rapport de l’audit
Et vous ?
Qu'en pensez-vous ?
Voir aussi
Les États-Unis accusent la Chine de cyberespionnage des entreprises et agences américaines, HPE, IBM piratés et les données de leurs clients volées
USA : Trump annonce de nouveaux tarifs sur l'importation de produits technologiques chinois et des restrictions aux investissements de la Chine
Les cyberattaques de représailles sont le seul moyen pour arrêter le cyberespionnage de la Chine, selon un ancien directeur du FBI
La NASA piratée à cause d'un Raspberry Pi non autorisé connecté à son réseau
Selon un rapport
La NASA piratée à cause d'un Raspberry Pi non autorisé connecté à son réseau
Selon un rapport
Le , par Bill Fassinou
Une erreur dans cette actualité ? Signalez-nous-la !