500 Mo de données de mission appartenant à la Nasa ont été volées par des hackers ayant utilisé un Raspberry Pi.
La NASA a révélé une faille de sécurité qui a permis à des pirates de voler 500 Mo de données liées à des « systèmes de mission majeurs ». L’incident a été découvert en avril 2018 par le Jet Propulsion Laboratory de l’agence spatiale américaine, qui avait découvert que le compte d’un utilisateur externe avait été compromis, ce qui a permis à un hacker d’accéder au réseau JPL avec un ordinateur Raspberry Pi.
500 mégaoctets de données relatives aux missions sur Mars dérobées
La faille de sécurité a été révélée par le Bureau des audits de l’Inspecteur Général de la Nasa (BIG) dans un rapport publié le 18 juin 2019. L’audit détaille la cybersécurité du Jet Propulsion Laboratory, y compris des détails sur des incidents passés. En plus de mentionner la brèche de l’agence survenue en 2011 dans laquelle 87 Go de données ont été volés, le rapport révèle le vol de données découvert en avril 2018.
Le rapport explique que le JPL de la Nasa utilise une application Web appelée Information Technology Security Database (ITSDB) pour le suivi et la gestion de ses applications réseau et de ses actifs physiques. Le réseau interne du JPL n’est accessible qu’aux «ressources informatiques» enregistrées dans cette base de données et approuvées par le laboratoire.
Selon la Nasa, lorsque l’équipe reçoit un nouvel avis relatif à un équipement, les responsables hiérarchiques disposent de 30 jours pour attribuer le nouveau bien aux plans de sécurité du système et pour «mettre en œuvre les contrôles de sécurité requis». Pendant l’enquête, entre autres problèmes de sécurité, les responsables trouvé ceci:
« Les administrateurs système ne mettent pas systématiquement à jour le système d’inventaire lorsqu’ils ajoutent de nouveaux périphériques au réseau. Plus précisément, il a été constaté que 8 des 11 administrateurs système responsables de la gestion des 13 systèmes de l’échantillon d’étude tiennent un tableau de stock d’inventaire distinct de leurs systèmes, à partir duquel ils mettent périodiquement à jour les informations manuellement dans la base de données ITSDB. De plus, un administrateur système a déclaré qu’il ne saisissait pas régulièrement de nouveaux périphériques dans la base de données ITSDB, car la fonction de mise à jour de la base de données ne fonctionnait pas parfois. Il a ensuite oublié de saisir les informations relatives à la ressource. Par conséquent, des ressources peuvent être ajoutées au réseau sans être correctement identifiées et vérifiées par les responsables de la sécurité. »
Un Raspberry Pi non autorisé connecté à son réseau
Le rapport d’avril 2018 en était une conséquence directe. Un Raspberry Pi non autorisé pour le réseau JPL a pu y accéder et voler des données. Suite à la découverte d’une faille de sécurité, le Johnson Space Center de la Nasa s’est temporairement déconnecté de la passerelle pour protéger son propre réseau.
Selon le rapport, l’inquiétude qui a motivé la décision du Johnson Space Center était que les pirates pouvaient « se déplacer latéralement de la passerelle vers leurs systèmes de mission, obtenant potentiellement un accès et émettant des signaux malveillants aux missions de vols spatiaux habités utilisant ces systèmes ». La connexion a été restaurée environ sept mois plus tard. Cependant, en mars 2019, le Johnson Space Center avait encore entièrement restauré son utilisation de toutes les données de communication d’un réseau d’espace lointain en raison de «préoccupations persistantes quant à sa fiabilité».