Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Consultant
    Inscrit en
    juillet 2013
    Messages
    2 245
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 2 245
    Points : 73 148
    Points
    73 148
    Billets dans le blog
    2

    Par défaut Le système de défense antimissile balistique américain échoue lamentablement à un audit de cybersécurité

    Le système de défense antimissile balistique US échoue lamentablement à un audit de cybersécurité
    Des manquements graves identifiés sur des sites

    Aucun chiffrement de données, aucun mécanisme d'authentification multifacteur et une vulnérabilité datant de 1990 non encore corrigée, voici entre autres quelques défaillances relevées par l'Inspecteur Général du Département américain de la Défense (DoD IG), après un audit de cybersécurité de certains sites gérant les éléments ou informations techniques du Ballistic Missile Defense System (BMDS).

    Pour information, le BMDS est le système américain de défense antimissile balistique géré par l'agence de défense antimissile (Missile Defense Agency ou MDA) des USA. Il vise à contrer les missiles balistiques à courte, moyenne et longue portée qui ciblent les États-Unis d’Amérique. Comme un tel système est contrôlé par des ordinateurs et des logiciels, il peut facilement être la cible d'attaques parrainées des États, dans le but d'en prendre le contrôle, l'endommager ou de voler des informations classifiées et du code source. Garantir sa sécurité est donc très important, mais un récent rapport de l'Inspecteur général du Département de la Défense (DoD IG) montre que le système de défense antimissile n'implémente pas du tout correctement les mesures de cybersécurité adéquates.


    Le rapport, qui a été préparé plutôt cette année, fait suite à un audit de cybersécurité dans les installations du DoD pour la protection du système de défense antimissile balistique. Les responsables du bureau de l'Inspecteur Général du DOD ont choisi au hasard cinq sites qui gèrent des éléments et informations techniques du BMDS. Et l'audit a permis d'identifier des faiblesses graves sur les sites des contractants de la MDA concernant l'accès au réseau, la gestion des vulnérabilités et l'examen des journaux d'audit du système.

    Le DoD IG dit avoir découvert que les administrateurs réseau et les gestionnaires de centre de données n’avaient pas mis en place des contrôles de sécurité et des processus pour protéger les informations techniques du BMDS. Le rapport indique plus précisément que l'authentification multifacteur n'a pas été utilisée systématiquement sur certains sites pour accéder aux informations techniques du BMDS, et l'un des sites n'a même pas pris la peine de configurer son réseau pour utiliser l'authentification multifacteur.

    Le rapport indique également que sur trois des cinq sites visités, les responsables n'avaient mis en place aucun mécanisme pour identifier et atténuer les vulnérabilités réseau connues. Et sur l'un des sites, une vulnérabilité initialement identifiée en 1990 n'était pas encore corrigée. Entre autres problèmes rencontrés sur certains des sites visités, le rapport souligne que des données classifiées stockées sur des clés USB ou autres supports amovibles n'étaient ni protégées ni surveillées. Certains sites n'avaient pas non plus chiffré la transmission des informations techniques du BMDS, alors que d'autres n'avaient pas implémenté de capacités de détection d'intrusion sur un réseau classifié. Comme si cela n'était pas suffisant, des sites n'exigeaient aucune justification écrite comme condition d'obtention et d'élévation de l'accès au système pour les utilisateurs. Sur des sites encore, le personnel informatique ne tenait pas de base de données sur les personnes ayant accès au système et pourquoi ils y accédaient.

    En plus des problèmes de sécurité informatique et de données, il y avait aussi des problèmes de sécurité physique. Le rapport cite par exemple des racks de serveur qui n'étaient pas verrouillés, des caméras de sécurité manquant à des endroits où elles devraient être installées ; et des capteurs de porte qui indiquaient que les portes étaient fermées alors qu'elles étaient en réalité ouvertes. Des personnes auraient ainsi pu accéder à des zones interdites sans difficulté.

    L'Inspecteur Général du DoD a invité les sites qui gèrent les éléments et informations techniques du BMDS à développer et implémenter de mécanismes pour corriger ces problèmes. Il a également invité les différents responsables concernés à répondre à son rapport avant le 8 janvier prochain.

    Avec ce que révèle le rapport du DoD IG, tout porte à croire qu'un État étranger doté de capacités de cyberattaques ou d'espionnage suffisantes ne se donnera pas beaucoup de mal à pirater les systèmes de la Défense américaine. Rappelons en effet qu'à plusieurs reprises, les USA ont accusé la Chine d'intrusion dans ses systèmes et de vols d'informations précieuses. En juin dernier par exemple, des responsables américains, s’exprimant sous le couvert de l’anonymat, ont révélé que des hackers du gouvernement chinois ont piraté les ordinateurs d'un entrepreneur de la Navy, et volé une grande quantité de données hautement sensibles liées à la guerre sous-marine. Un forfait qui aurait été commis entre janvier et février dernier.

    Il y a quelques jours, The Wall Street Journal a encore rapporté que plusieurs installations de la marine américaine ont été victime de cyberattaques de la part de pirates chinois. Ces attaques auraient, selon le quotidien américain, visé principalement des données de maintenance de navires, des plans de missiles ou des technologies militaires avancées. Et elles auraient abouti, car comme le rapporte The Wall Street Journal, des responsables américains et des chercheurs en sécurité ont indiqué que plusieurs documents et des informations ultra-sensibles ont été dérobés auprès de certains entrepreneurs et de sous-traitants de la marine ; ces derniers ne disposant pas de ressources nécessaires pour sécuriser leurs réseaux de données confidentielles. Ainsi, les USA ne facilitent-ils pas eux-mêmes le piratage de leurs systèmes ?

    Sources : DoD IG, Rapport du DoD IG

    Et vous ?

    Que pensez-vous des révélations du rapport d'audit du système de défense antimissile balistique US ?
    Trop de laxisme pour un pays comme les Etats-Unis ? Comment expliquez-vous cela ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre expert Avatar de marsupial
    Homme Profil pro
    DevOp, Tech leader
    Inscrit en
    mars 2014
    Messages
    1 008
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : DevOp, Tech leader

    Informations forums :
    Inscription : mars 2014
    Messages : 1 008
    Points : 3 549
    Points
    3 549

    Par défaut

    Le moins que l'on puisse dire est que le bouclier antimissiles est percé. Et gravement. Si le Pentagone est sécurisé de la même manière, les américains ont perdu la prochaine guerre...
    Faudrait qu'ils se réveillent. Nous sommes dans les années 2010 bientôt 2020. Tout est connecté. Les adversaires sont libres de faire un carton quand ils veulent.

    Je ne sais plus sur quel fil de discussion (lien) où je disais 2 mois avant Wanna Cry que les américains cramaient tout leur budget sur l'offensive et rien sur la cybersécurité et qu'il s'agissait d'une grave erreur de stratégie. N'importe quel Etat peut entrer, désactiver le bouclier et bombarder avec les propres missiles des Etats-Unis.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  3. #3
    Membre émérite
    Avatar de Voïvode
    Profil pro
    Inscrit en
    mars 2007
    Messages
    455
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : mars 2007
    Messages : 455
    Points : 2 483
    Points
    2 483

    Par défaut

    Ça fait longtemps que les USA ont un problème avec la sécurité de leurs missiles.

    Nom : red alert 8.JPG
Affichages : 5759
Taille : 49,8 Ko

  4. #4
    Membre expérimenté
    Profil pro
    Inscrit en
    janvier 2011
    Messages
    1 577
    Détails du profil
    Informations personnelles :
    Localisation : France, Nord (Nord Pas de Calais)

    Informations forums :
    Inscription : janvier 2011
    Messages : 1 577
    Points : 1 535
    Points
    1 535

    Par défaut

    Au moins cela fait redescendre les USA de leurs piédestal ... Pourquoi la Russie ou la Chine serait moins légitime que les USA en matière de cyberdéfense ?

    Au moins quand c'est Russe c'est réputé pour être fonctionnel , pas forcement sécure ... mais robuste !

  5. #5
    Membre éprouvé
    Homme Profil pro
    Développeur informatique
    Inscrit en
    juillet 2007
    Messages
    700
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Loire Atlantique (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : High Tech - Opérateur de télécommunications

    Informations forums :
    Inscription : juillet 2007
    Messages : 700
    Points : 1 297
    Points
    1 297

    Par défaut

    quand c'est Russe c'est réputé pour être fonctionnel , pas forcement sécure ... mais robuste
    Oui enfin pour les Etats-Unis aussi, sauf que les Russes ne disent pas grand chose de leur système. Leurs audit de sécurité ne sont pas publié. C'est plus Goulag (Ou assassinat si tu n'est pas en Russie) si tu ose critiquer un truc russe.
    Tout ce que j'écris est libre de droits (Licence CC0) et je vous incite à faire de même.

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo