Discussion :

[Bill Fassinou]

La NASA piratée à cause d'un Raspberry Pi non autorisé connecté à son réseau,
selon un rapport

Dans un rapport d’audit publié récemment par le bureau de l’inspecteur général (BIG) de la NASA, le bureau a signalé qu’en avril 2018, des pirates informatiques ont violé le réseau de l'agence spatiale et ont volé environ 500 mégaoctets de données relatives aux missions sur Mars. Selon le rapport d’étude, les pirates auraient infiltré le réseau JPL (Jet Propulsion Laboratory), un centre de recherche et de développement de la NASA financé par le gouvernement fédéral situé à Pasadena, en Californie. Le rapport recense également d’autres incidents de violation de données et de vol d’informations sur les différentes missions de l’agence.

D’après le rapport du BIG de la NASA, au cours des 10 dernières années, JPL a connu plusieurs incidents de cybersécurité notables qui ont compromis des segments importants de son réseau informatique. En 2011, des pirates informatiques ont obtenu un accès complet à 18 serveurs prenant en charge des missions clés du JPL et auraient volé environ 87 gigaoctets de données. Plus récemment, en avril 2018, JPL a découvert qu'un compte appartenant à un utilisateur externe avait été compromis et utilisé pour voler environ 500 mégaoctets de données à l'un de ses principaux systèmes de mission.

Le BIG a informé à travers le rapport que le JPL traîne de nombreuses faiblesses de contrôle de sécurité informatique qui limitent sa capacité à prévenir, détecter et limiter les attaques ciblant ses systèmes et ses réseaux. Cette faiblesse du système de sécurité du JPL expose les différents systèmes et les données de la NASA à diverses attaques des cybercriminels. JPL utilise sa base de données ITSDB (Information Technology Security) pour suivre et gérer les actifs physiques et les applications sur son réseau. Cependant, l’audit a révélé que l’inventaire de la base de données était incomplet et inexact, une situation qui met en péril la capacité du JPL à surveiller, à signaler et à réagir efficacement face aux incidents de sécurité.

Selon le BIG, les administrateurs système ne mettent pas systématiquement à jour le système d'inventaire lorsqu'ils ajoutent de nouveaux périphériques au réseau. Plus précisément, il a été constaté que 8 des 11 administrateurs système responsables de la gestion des 13 systèmes de l’échantillon d'étude tiennent un tableau de stock d'inventaire distinct de leurs systèmes, à partir duquel ils mettent périodiquement à jour les informations manuellement dans la base de données ITSDB. De plus, un administrateur système a déclaré qu’il ne saisissait pas régulièrement de nouveaux périphériques dans la base de données ITSDB, car la fonction de mise à jour de la base de données ne fonctionnait pas parfois. Il a ensuite oublié de saisir les informations relatives à la ressource.

Par conséquent, des ressources peuvent être ajoutées au réseau sans être correctement identifiées et vérifiées par les responsables de la sécurité. Ainsi, pour la cyberattaque d'avril 2018, celle qui a permis aux attaquants de dérober environ 500 mégaoctets de données concernant les diverses missions de la NASA sur la planète Mars a exploité cette faiblesse particulière lorsque le pirate informatique a accédé au réseau JPL en ciblant un ordinateur Raspberry Pi non autorisé à être connecté au réseau JPL. Les pirates informatiques ont utilisé ce point d’entrée pour s’infiltrer au sein du réseau JPL, tout en piratant une passerelle de réseau partagée.

Cette action a permis aux attaquants d’obtenir un accès aux serveurs qui stockent les informations sur les missions portant sur la planète Mars gérées par le laboratoire JPL de la NASA, à partir desquelles ils ont ensuite exfiltré environ 500 mégaoctets de données. Le cyberattaquant de l’incident d’avril 2018 a exploité le manque de segmentation du réseau JPL pour se déplacer entre divers systèmes connectés à la passerelle, y compris plusieurs opérations de mission JPL et le DSN. En conséquence, en mai 2018, des responsables de la sécurité informatique du Johnson Space Center (Johnson) qui gère des programmes tels que le véhicule d'équipage polyvalent Orion et la station spatiale internationale ont alors choisi de se déconnecter temporairement de la passerelle pour des raisons de sécurité.

Les responsables craignaient en effet que les cyberattaquants ne passent latéralement de la passerelle à leurs systèmes de mission, obtenant potentiellement un accès et envoyant des signaux malveillants aux missions de vols spatiaux habités utilisant ces systèmes. Dans le même temps, les responsables de la sécurité informatique de Johnson ont cessé d'utiliser les données DSN, car ils craignaient que celles-ci ne soient corrompues et peu fiables. Johnson a rétabli sa connexion de passerelle en novembre 2018 et a rétabli l'utilisation de données de vaisseau spatial limitées en mars 2019.

Cela dit, le bureau de l’inspecteur général de la NASA n’a pas mentionné de noms liés directement à l’attaque d’avril 2018. Néanmoins, certains supposent que cela pourrait bien être lié aux agissements du groupe de piratage chinois connu sous le nom de Advanced Persistent Threat 10, ou APT10, qui ont conduit les États-Unis a accusé en décembre dernier, la Chine de cyberespionnage de plusieurs entreprises locales et de certaines agences nationales américaines. Selon la plainte, les investigations ont montré qu’une campagne de phishing a permis aux espions de voler des centaines de gigaoctets de données en accédant à au moins 90 ordinateurs dont des ordinateurs de sept sociétés des technologies aéronautique, spatiale et satellitaire, de trois sociétés de communication, d'un laboratoire national du département américain de l'Énergie, ainsi que du Goddard Space Flight Center et du Jet Propulsion Laboratory de la NASA.

L’acte d’accusation mentionne également qu’à partir de 2014, APT10 avait procédé par des attaques Cloudhopper en ciblant les MSP auxquels le procureur général Rod Rosenstein a fait référence lors de la conférence de presse du jeudi comme « des entreprises de confiance pour stocker, traiter et protéger les données commerciales, y compris la propriété intellectuelle et d'autres informations commerciales confidentielles ». Étaient-ils concernés pour l’attaque d’avril 2019 ? Pour le moment, aucune réponse à ce propos ne figure dans le rapport du bureau de l’inspecteur général de la NASA.

Source : Rapport de l’audit

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Les États-Unis accusent la Chine de cyberespionnage des entreprises et agences américaines, HPE, IBM piratés et les données de leurs clients volées

USA : Trump annonce de nouveaux tarifs sur l'importation de produits technologiques chinois et des restrictions aux investissements de la Chine

Les cyberattaques de représailles sont le seul moyen pour arrêter le cyberespionnage de la Chine, selon un ancien directeur du FBI

[NotAèfka]

How to hack nasa with html

[Jipété]

[…] car la fonction de mise à jour de la base de données ne fonctionnait pas parfois.

C'est moi ou on marche sur la tête, là ?

[darklinux]

Ce que j ' en pense ?
1/ ces admins à dégager
2/ mettre à jour en vitesse les systèmes
3/ Je suis coincé dans " mr robot "

[Refuznik]

En bref, on a des infrastructures et des services pourries pour gérer nos données hyper secrètes et après ils s'étonnent de se faire pirater !!??
Que ce soit la Chine, l'Inde, la France, la Russie ou je ne sais qui on s'en fout qu'en c'est open-bar tous le monde se sert.

Les accusations des américains sont risibles.

[BleAcheD]

ça fait un peu trop Mr Robot .. Moi qui trouvais ça un peu gros

[AoCannaille]

Dans ma boite, si ton adresse mac est pas connue, tu te ne passe même pas l'étape du DHCP, alors se connecter au réseau
Pour le coup si on doit annoncer son adresse mac pour qu'elle soit autorisée, ça force à mettre à jour 'a priori' et pas 'a posteriori' ça me semble sain comme façon de procéder...

Alors oui, l'adresse mac peut être spoofé, toussa toussa, mais dans ce cas l'intru rentre physiquement sur le site, alors que là...

[gangsoleil]

Dans ma boite, si ton adresse mac est pas connue, tu te ne passe même pas l'étape du DHCP, alors se connecter au réseau
Pour le coup si on doit annoncer son adresse mac pour qu'elle soit autorisée, ça force à mettre à jour 'a priori' et pas 'a posteriori' ça me semble sain comme façon de procéder...

Alors oui, l'adresse mac peut être spoofé, toussa toussa, mais dans ce cas l'intru rentre physiquement sur le site, alors que là...

Euh sinon je prends une IP fixe, comme ça je n'ai pas besoin de DHCP...
Et lorsqu'une machine dont la MAC était enregistrée est sortie d'inventaire, son adresse est enlevée manuellement de la liste non ? Donc là encore, il peut y avoir des oublis, et donc des adresses MAC ré-utilisables.


Oui, il faut patcher, c'est nécessaire, mais il faut bien prendre conscience qu'on ne fait pas ça n'importe comment lorsqu'on gère des systèmes de la taille de ceux de la NASA : d'abord on teste la mise à jour, puis si tout va bien on déploie sur la prod, etc...
Ça n'excuse en rien les fautes de JPL, et oui ils auraient pu, et dû, faire beaucoup mieux. Mais juste avec un ou deux articles, on ne connaît pas assez l'état des lieux pour en tirer des conclusions raisonnables.

[byrautor]

Avec un réseau pourri que faire ?
RIEN !

[AoCannaille]

Euh sinon je prends une IP fixe, comme ça je n'ai pas besoin de DHCP...
Et lorsqu'une machine dont la MAC était enregistrée est sortie d'inventaire, son adresse est enlevée manuellement de la liste non ? Donc là encore, il peut y avoir des oublis, et donc des adresses MAC ré-utilisables.

Le DHCP, c'est que la première étape, c'est le proxy qui filtre le plus je pense. Et là on parle juste d'imbéciles qui ont connecté un truc trop rapidement au réseau. Le filtrage mac permet d'éviter ça justement. Autrement ça veut dire que tu as un hackeur qui as un accès physique à ton réseau, autant dire que t'es mal barré car s'il a suffisament de temps il contournera tout....

Quant à la validité des adresses MAC, elles se supprime de la white list après un mois sans connexion. Chaque année en Septembre je ne te parle même pas de l'état du Help Desk
Mais effectivement on a des circuits de départ toussa toussa pour nettoyer ce qu'il faut....

[manu007]

La raspberry-pi n'était pour rien, puisque auparavant ils on piraté une passerelle de réseau... C'est tout un réseau qui pourri ou totalement obsolète.