Les invasions de vos systèmes (ou les tentatives d’invasion) ne sont pas nouvelles pour la NASA. Ce qui attire l’attention sur l’accès non autorisé révélé cette semaine, c’est le moyen utilisé pour cela : dans un rapport de sécurité, la NASA elle-même reconnaît que l’envahisseur a utilisé un simple Pi à la framboise.
Le rapport (PDF), issu d’un audit mené par le Bureau d’inspection générale de la NASA, indique que les attaques ont été identifiées en 2018 et ont abouti à la saisie de 23 fichiers confidentiels qui totalisent environ 500 Mo.
Au moins deux de ces dossiers concernent les missions actuelles sur Mars. Le hacker (ou les hackers, car on ne sait pas si l’invasion a été menée par plus d’une personne) avait également accès au système Deep Space Network, un réseau d’antennes que la NASA entretient pour communiquer avec ses satellites et d’autres agences spatiales.
L’accès s’est fait essentiellement en connectant un Raspberry Pi au réseau du Jet Propulsion Laboratory (JPL), l’un des plus importants centres de recherche de la NASA. Un autre détail frappant est que l’accès non autorisé s’est produit pendant 10 mois.
En utilisant un compte externe pour entrer dans le réseau du JPL, le pirate a pu étendre son accès à la plupart des systèmes internes sans être détecté.
Au moment où les accès ont finalement été découverts, les dégâts avaient déjà été importants. En plus de capturer des données, l’attaquant a accédé à deux des trois réseaux primaires du JPL, ce qui a obligé la NASA à déconnecter temporairement plusieurs systèmes en avril 2018, notamment ceux traitant des programmes de la Station spatiale internationale et du vaisseau spatial Orion.
Aucun système n’est sûr à 100 %, et pourtant il est étonnant qu’un dispositif aussi simple que Raspberry Pi soit passé inaperçu depuis si longtemps dans les systèmes de la NASA.
Ce n’est pas le mérite de Raspberry Pi lui-même. Le rapport souligne que l’un des problèmes qui a facilité les attaques était l’absence d’un inventaire complet des appareils autorisés à accéder au réseau du JPL. Sans cette information, il est difficile pour les administrateurs de savoir quels appareils doivent être présents et lesquels ne le sont pas.
En outre, le réseau manquait d’outils de surveillance et de détection des attaques cohérents.
Les enquêtes visant à identifier le (ou les) coupable(s) se poursuivent. En attendant, le JPL fait ses devoirs : la sécurité du réseau a été renforcée et les accords avec les partenaires extérieurs pour l’accès aux systèmes sont en cours de révision.
