Des failles dans la sécurité ICT de la NASA

La NASA ne parvient pas à garder sa sécurité ICT à niveau, tout particulièrement en ce qui concerne les différents projets de mission. Dans une déclaration, Paul Martin, inspecteur général de la NASA, admet que son organisation est aux prises avec des problèmes de sécurité IT. Le CIO de la NASA manque ainsi d’une vision globale des systèmes de cryptage de l’organisation, parce qu’à côté des systèmes ‘institutionnels’ (permettant le fonctionnement de la NASA en tant qu’institution), une masse de matériel ICT est achetée dans le cadre de ‘missions’. Et malheureusement, “le CIO ne peut obliger que dans une mesure limitée les directorats de mission de la NASA à mettre en oeuvre les programmes de sécurité IT qu’il recommande ou fixe.”

La NASA ne parvient pas à garder sa sécurité ICT à niveau, tout particulièrement en ce qui concerne les différents projets de mission.

Dans une déclaration, Paul Martin, inspecteur général de la NASA, admet que son organisation est aux prises avec des problèmes de sécurité IT. Le CIO de la NASA manque ainsi d’une vision globale des systèmes de cryptage de l’organisation, parce qu’à côté des systèmes ‘institutionnels’ (permettant le fonctionnement de la NASA en tant qu’institution), une masse de matériel ICT est achetée dans le cadre de ‘missions’. Et malheureusement, “le CIO ne peut obliger que dans une mesure limitée les directorats de mission de la NASA à mettre en oeuvre les programmes de sécurité IT qu’il recommande ou fixe.” Dans un cas spécifique, un audit a relevé que seuls 24 pour cent des systèmes d’un projet de mission avaient été dotés de correcteurs (‘patches’) critiques, alors que seuls 64 pour cent des systèmes avaient été suivis sur le plan des problèmes techniques. En outre, Martin évoque aussi des difficultés au niveau du contrôle permanent de la sécurité IT, alors que les données sur les systèmes mobiles sont insuffisamment protégées par cryptage. Concrètement, il s’agit là d’un exemple de la manière dont le responsable de l’ICT (et/ou de la sécurité ICT) pèse insuffisamment sur le fonctionnement réel d’une organisation (ou entreprise).

Or, la NASA est une cible d’attaques privilégiée – rien qu’en 2010 et 2011, l’on y a relevé 5.408 incidents en matière de sécurité perpétrés tant par des particuliers que par des criminels -, ce qui lui coûte quelque 7 millions de dollars. La perte de matériel est également inquiétante, comme ce notebook égaré en mars 2011 qui contenait des informations non cryptées sur les algorithmes pour la gestion opérationnelle de la station spatiale internationale ISS. Dans ce dernier cas, le problème ne concerne pas seulement le danger d’une prise de contrôle de l’ISS, mais aussi la perte d’une propriété intellectuelle. La NASA souligne par ailleurs qu’elle est une institution de recherche, qui doit et veut être accessible à grande échelle pour ses propres collaborateurs et pour les chercheurs de l’extérieur. Une situation à laquelle doivent également faire de plus en plus face pas mal d’entreprises ayant des collaborateurs externes.

Par ailleurs, la NASA souffre également du problème de sécurité général consistant en des attaques de plus en plus sophistiquées. En 2011, cela concernait déjà 47 attaques ‘advanced persistent threat’ (de longue durée et cachées), dont 13 ont été couronnées de… succès. De plus, la NASA est attaquée de partout dans le monde, ce qui a conduit ces derniers mois à des arrestations en Roumanie, en Chine, en Estonie, en Grande-Bretagne et en Russie notamment. Un autre défi qui se pose pour l’avenir, c’est l’implémentation à la NASA des directives du gouvernement américain à propos du passage à une approche d’informatique dans le nuage (‘cloud computing’).

La NASA dépense chaque année quelque 1,5 milliard de dollars en matériel et en services ICT, dont 58 millions (3,9%) sont consacrés à la sécurité, en plus des investissements ICT dans les projets de mission.

Une dernière observation concerne les avis de détournement de systèmes dans l’espace. Le problème de satellites détournés n’est en fait pas nouveau. C’est ainsi qu’à la fin des années nonante déjà, l’on évoquait des cas de prise de commande de satellites (comme l’indique un rapport faisant état de satellites militaires britanniques manipulés en 1999). Il s’agit cependant souvent d’équipement terrestre qui était insuffisamment protégé contre les connexions du monde extérieur. C’est comparable à des rapports plus récents faisant état d’attaques lancées contre des systèmes SCADA (des systèmes de contrôle d’installations industrielles). Dans cette optique, l’on doit assurément craindre davantage les conséquences d’attaques sur des organisations de systèmes de communication par satellites commerciaux que celles ciblant la NASA…