Discussion :

[Katleen Erna]

Le site de la Nasa "hautement vulnérable" aux cyberattaques, d'après un rapport interne à l'organisation

Les grandes institutions avec beaucoup de moyens sont-elles celles dont les systèmes informatiques sont les mieux protégés ? Par toujours, comme le démontre un rapport interne à la NASA qui a été rendu public et réalisé suite au vol de 22 gigabytes de données dans un serveur du Jet Propulsion Laboratory (JPL) portant sur des exportations de haute technologue sujettes à des restrictions en janvier 2009.

En effet, il semblerait que le parc informatique en question soit aussi poreux qu'un gruyère, avec «les carences de configuration du système informatique ont permis à des pirates plus de 3.000 accès non-autorisés avec des adresses IP (Internet Protocol) en Chine, aux Pays Bas, en Arabie Saoudite et en Estonie

Le document indique que «les serveurs informatiques de l'ensemble des missions de l'Agence présentaient des vulnérabilités (...) qui peuvent être exploitées à partir d'internet», et parmi eux, six seraient reliés à des systèmes de contrôles de vaisseaux spatiaux. De plus, tous contiendraient des données sensibles. Bref, si un pirate informatique arrivait à s'y infiltrer, ça serait un véritable désastre. Les opérations de la NASA pourraient s'en voir paralysées, et les codes de cryptage ou autres informations confidentielles à propos des utilisateurs du réseau de la NASA et des missions de l'organisation pourraient être dérobées et exploitées.

«Ces données sont sensibles et donnent aux pirates potentiels d'autres voies d'accès non-autorisés des réseaux informatiques de la Nasa. Jusqu'à ce que la Nasa mettent fin à ces graves déficiences et améliore la sécurité en matière de technologies de l'information, l'agence sera vulnérable à de telles pénétrations, ce qui pourrait avoir de conséquences graves voire catastrophiques pour ses réseaux, ses opérations et le personnel», peut-on lire dans le rapport de l'inspection interne.

Des mesures de protection avaient déjà été préconisées en 2010 par l'inspecteur général de la NASA (l'auteur du rapport), mais elles n'ont toujours pas été mises en oeuvre. Un manquement déplorable pour le professionnel, qui espère que la situation sera réglée au plus vite et que la NASA renforcera très sérieusement sa sécurité informatique.

Source : Rapport de Paul Martin

Pourquoi la NASA tarde-t-elle tant à renforcer son système de sécurité informatique ?

Un tel manque de protection dans une si grosse organisation vous surprends-t-il ?

[ram-0000]

Pourquoi la NASA tarde-t-elle tant à renforcer son système de sécurité informatique ?

Tout a un coût et la sécurisation d'un système informatique n'y échappe pas.

• Coût de la sécurisation, il faut bien que quelqu'un dont c'est le métier le fasse.
  
• Coût sur l'utilisabilité. En général, la sécurisation d'un système est inversement proportionnel à la capacité qu'ont les utilisateur de l'utiliser simplement.
  
• De plus, comme les applications maintenant consistent bien souvent en assemblages d'autres applications, les interactions entre les différents composants deviennent difficiles à comprendre et encore plus à sécuriser. Dans certains cas, c'est même impossible (pour la petite histoire, j'ai encore le souvenir d'une application de sauvegarde réseau qui demandait pour fonctionner que le service rsh soit actif sur la machine à sauvegarder avec un fichier .rhosts contenant '+ +", c'était marqué dans la doc d'installation et si ce n'était pas fait comme cela, il n'y avait pas de support, une horreur impossible à sécuriser).

Un tel manque de protection dans une si grosse organisation vous surprends-t-il ?

Non mais ce n'est pas lié à la taille de l'organisation, c'est lié aux moyens que l'on se donne.

[pi-2r]

Bonsoir,

En effet, il semblerait que le parc informatique en question soit aussi poreux qu'un gruyère, avec «les carences de configuration du système informatique ont permis à des pirates plus de 3.000 accès non-autorisés avec des adresses IP (Internet Protocol) en Chine, aux Pays Bas, en Arabie Saoudite et en Estonie

les différents sites et serveurs de la NASA servent généralement de base d'entrainement aux apprentis pirates (beaucoup d'injection SQL, possibilité d'attaque par brute force, etc...) dont les gains ne sont ni plus ni moins que la motivation de percer les secrets (accès à des documents confidentiels, code d'accès, etc...)

[Neko]

Je trouve ça un peu gros. Ça fait plus penser à un Honey Pot dans lequel tout le monde serait tombé.

[homeostasie]

Bonjour,


C'est pas nouveau, d'ailleurs il y a déjà eu une actualié passée sur Zataz en Octobre 2010 => Serveurs de la NASA visités.


;-)