Certains articles de veille peuvent faire l'objet de traduction automatique.
Des centaines de kilomètres au-dessus de la Terre, des milliers de satellites sont en orbite autour de la planète pour assurer le bon fonctionnement du monde. Les systèmes de chronométrage, le GPS et les technologies de communication sont tous alimentés par des satellites. Mais depuis des années, les chercheurs en sécurité avertissent qu’il reste encore beaucoup à faire pour sécuriser les satellites contre les cyberattaques.
Une nouvelle analyse d’un groupe d’universitaires allemands donne un rare aperçu de certaines des faiblesses de sécurité des satellites qui tournent actuellement autour de la Terre. Les chercheurs, de l’Université de la Ruhr à Bochum et du Centre Cispa Helmholtz pour la sécurité de l’information, ont examiné le logiciel utilisé par trois petits satellites et ont constaté que les systèmes manquaient de certaines protections de base.
Les satellites inspectés par les chercheurs, selon un document académique, contiennent des vulnérabilités « simples » dans leur firmware et montrent « que peu de recherches sur la sécurité de la dernière décennie ont atteint le domaine spatial ». Parmi les problèmes figurent un manque de protection pour qui peut communiquer avec les systèmes satellites et un échec à inclure le cryptage. Théoriquement, selon les chercheurs, les types de problèmes qu’ils ont découverts pourraient permettre à un attaquant de prendre le contrôle d’un satellite et de le faire s’écraser sur d’autres objets.
Il existe plusieurs types de satellites utilisés aujourd’hui, dont la taille et l’objectif varient. On trouve des satellites créés par des sociétés commerciales qui photographient la Terre et fournissent des données de navigation. Les satellites militaires sont couverts de secret et souvent utilisés pour l’espionnage. Il existe également des satellites de recherche, gérés par des agences spatiales et des universités.
Johannes Willbold, doctorant à l’Université de la Ruhr à Bochum et chercheur principal à l’origine de l’analyse de la sécurité, affirme que l’état actuel de la sécurité des satellites peut être qualifié de « sécurité par l’obscurité ». En d’autres termes : on sait peu de choses sur la qualité de leur protection. Willbold dit que l’équipe de recherche a approché plusieurs organisations disposant de satellites dans l’espace pour leur demander si elles pouvaient inspecter leur micrologiciel, et la grande majorité a refusé ou n’a pas répondu. Il loue l’ouverture des trois qui ont travaillé avec son équipe.
Les trois satellites sur lesquels l’équipe s’est concentrée sont utilisés pour la recherche, volent en orbite terrestre basse et sont en grande partie exploités par des universités. Les chercheurs ont inspecté le firmware de ESTCube-1, un satellite cube estonien lancé en 2013 ; le OPS-SAT de l’Agence spatiale européenne, qui est une plateforme de recherche ouverte ; et le Ordinateur portable volantun mini satellite créé par l’Université de Stuttgart et la société de défense Airbus.
L’analyse des chercheurs indique qu’ils ont trouvé six types de vulnérabilités de sécurité sur les trois satellites et 13 vulnérabilités au total. Parmi ces vulnérabilités figuraient des «interfaces de télécommande non protégées», que les opérateurs de satellites au sol utilisent pour communiquer avec les véhicules lorsqu’ils sont en orbite. « Souvent, ils manquent de protection d’accès en premier lieu », déclare Willbold, qui présente également la recherche lors de la conférence sur la sécurité Black Hat à Las Vegas le mois prochain. « Ils ne vérifient essentiellement rien. »
En plus des vulnérabilités du logiciel des satellites, explique Willbold, l’équipe a trouvé un problème dans une bibliothèque de codes qui semble être utilisée par plusieurs satellites. La recherche détaille une pile basée sur vulnérabilité de débordement de tampon dans un logiciel développé par le fabricant de nanosatellites GomSpace. La source du problème, selon la recherche, se trouve dans une bibliothèque qui a été mise à jour pour la dernière fois en 2014. Willbold dit que GomSpace a reconnu les résultats lorsque les chercheurs ont signalé le problème. GomSpace n’a pas répondu à la demande de commentaire de WIRED.
Poster un commentaire