The Circus | Bowie - The Man Who Changed The World 95 mins Only true legends of rock music are known by one word; and the most creative and influential rock artist of all time is simply know… Watch My List Bowie - The Man Who Changed The World | Computers & Internet
publicité

Les nouvelles armes du Pentagone sont truffées de vulnérabilités


Sécurité : Mauvais mots de passe, déficit de chiffrement, nombreuses failles non corrigées... Les dernières armes pilotées par l'informatique développées par le ministère américain de la Défense sont vulnérables. Trop.

Les nouvelles armes à commandes informatiques développées par le ministère de la défense américain sont vulnérables selon un rapport publié hier. Le rapport en question est rédigé par le Governement Accountability Office (GAO), une agence qui se charge d’auditer, d’évaluer et d’enquêter pour le compte du Congrès américain.


Le Congrès a demandé au GAO de travailler sur ce rapport dans le cadre de l’attribution d’un nouveau budget de plus de 1000 milliards de dollars utilisé pour le développement de nouveaux outils pour le Pentagone sur les prochaines années.

Mais selon ce rapport, les enquêteurs du GAO ont procédé à des tests d’intrusion en jouant le rôle des attaquants et ont découvert toute une série de vulnérabilités sur ces nouveaux types d’armes.

« En utilisant des techniques et méthodes relativement simples, les testeurs sont parvenus à prendre le contrôle et à faire fonctionner les systèmes en échappant à la détection. Ces problèmes sont largement causés par des problèmes basiques : absence de chiffrement et mauvaise gestion des mots de passe » ont expliqué les porte-paroles du GAO.

Des failles triviales aux effets dévastateurs

Le rapport détaille les attaques les plus impressionnantes menées par les enquêteurs du GAO : « Dans l’un des cas, il a suffi d’une équipe de deux personnes et d’une heure pour gagner l’accès à un système d’armement et une journée pour prendre complètement le contrôle du système en question. »

Certains programmes s’en tirent mieux que d’autres. Ainsi, certains tests ont montré qu’un système d’armement empêchait les accès non autorisés depuis l’extérieur, mais pas contre les employés ou les attaquants à proximité physique. Une fois l’accès initial obtenu, les équipes de tests étaient généralement capables de se déplacer latéralement au sein du système et d’élever peu à peu leurs privilèges jusqu’à gagner le contrôle partiel ou complet du système.

Dans un des cas, l’équipe de test est parvenue à prendre le contrôle des terminaux utilisés par les opérateurs. Ils pouvaient voir en temps réel ce que les opérateurs voyaient sur leurs écrans et pouvaient également manipuler le système. Ils étaient notamment capables d’interrompre le fonctionnement du système et de voir comment les opérateurs répondaient.

Une autre équipe de test a ainsi rapporté avoir provoqué l’apparition d’un message pop-up sur les terminaux des utilisateurs, qui leur demandait d’insérer une pièce de 5 centimes pour pouvoir continuer.

De nombreuses équipes de tests ont rapporté qu’elles étaient en mesure de copier, modifier ou supprimer des données de ces systèmes. L’une d’entre elles a notamment téléchargé plus de 100 Go de données, soit l’équivalent de 142 CD de données.

Le rapport explique que le ministère de la Défense a pris connaissance de ces nombreuses vulnérabilités, mais les porte-paroles du Pentagone qui ont rencontré le GAO ont soutenu que les systèmes étaient sécurisés.

Le GAO rappelle que les tests en question ont été menés sur des systèmes d’armement en cours de développement et que les attaquants ne peuvent pas encore utiliser ces failles de sécurité afin de prendre le contrôle de systèmes d’armement actuellement en place aux US.

Mais le rapport du GAO précise que cette menace pourrait devenir réelle dès lors que ces nouveaux systèmes seront mis en place.

« La situation est très inquiétante, sauf si quelqu’un se décide à tirer la sonnette d’alerte et à prendre les choses en main de manière sérieuse » écrit Christina Chaplin, l’une des employées du GAO à l’origine du rapport.

Interrogée lors d’un podcast, Chaplin a expliqué que l’une des principales faiblesses de ces armes provient du fait que le département de la Défense n’avait jusque-là pas jugé que la protection contre les attaques informatiques était une priorité. Mais Chaplin assure que le ministère a commencé à prendre la mesure du problème et à réagir.

L’une de ses réactions de la part du ministère a été de mettre en place de meilleures procédures de test. L’autre a été de placer la cybersécurité comme un élément essentiel dans le processus d’acquisition de plusieurs composants de ces nouveaux systèmes.

Problème culturel

En dépit de cela, le rapport du GAO estime que si le ministère ne prend pas en compte les alertes et ne corrige pas les failles découvertes par ses employés, alors tout le nouveau processus de test sera au final inutile. Et selon le GAO, le ministère de la Défense est assez peu réactif sur ces sujets : « Par exemple l’un des rapports de test indiquait que seule une des 20 vulnérabilités détectées lors d’un test précédent avait été corrigée. L’équipe de test a exploité cette même vulnérabilité pour prendre le contrôle du système. Interrogés à ce sujet, les dirigeants du programme ont expliqué qu’une solution à la faille avait été identifiée, mais que celle-ci n’avait pas été implémentée. La faute a été rejetée sur un contractant. »

« Il y a aussi un problème de culture actuellement au ministère de la Défense. Le ministère n’est pas capable de traiter ce type de faille à l’échelle du programme, et le ministère aura beaucoup de travail pour résoudre ce type de problème » a ajouté Chaplin.

Le rapport ne rentre pas dans les détails des systèmes d’armement afin de respecter les règles de confidentialité et du secret-défense. Mais le GAO précise que les systèmes sont largement contrôlés par commande informatique et fonctionnent tous en réseau, ce qui en fera une cible de choix pour les services d’espionnage et de sabotage des gouvernements.

« Pratiquement tous les composants du réseau du ministère de l’armement fonctionnent en réseau. Le système d’armement se connecte aux différents réseaux du ministère et parfois à des réseaux externes appartenant à des contractants du ministère. Les systèmes technologiques, de logistique, de gestion des effectifs et liés aux business utilisent le même réseau que les systèmes d’armement. Dans certains cas, les systèmes d’armement sont déconnectés du réseau, mais peuvent être raccordés à d’autres systèmes, comme le système électrique, qui sont eux directement connectés à Internet » résume le rapport.

En d’autres termes, une fois que ces nouveaux systèmes seront mis en production, ils seront accessibles sur Internet et seront donc exposés. Mieux vaut donc les protéger pour s’éviter un piratage, notamment si les failles identifiées n’ont toujours pas été corrigées.

Cet article est une traduction de "Pentagon's new next-gen weapons systems are laughably easy to hack" initialement publié sur ZDNet.com

A lire aussi :

Géolocalisation GPS : une sérieuse menace pour les bidasses

Dans un briefing avec la presse, un représentant du ministère de la défense américain a expliqué que les employés et les...

Articles relatifs

Contenus sponsorisés

Contenus partenaires

Réagissez à l'article

6 réponses
Connectez vous ou Enregistrez-vous pour rejoindre la discussion
    
  • Une journée pour prendre le contrôle total ? Il n'y a pas si longtemps ça prenait 15 minutes. Nous les avons même filmés à travers leur webcam se mettre à genoux, mains sur la tête en signe de reddition. On progresse :)...

    Bon.
    Faut pas le dire, mais en France cela nous prend toujours moins de 30 secondes...;(

    Un p'tit audit sauvage ? :D
  • 
  • t'as pas vu le film ?
  • 
  • Tout ce que je peux ajouter est qu'il y a eu négoce avec l'Amiral Roger, le patron de la NSA de l'époque et que le contenu est top secret. Le Drian, alors ministre de la Defense, a vu le shooting à la webcam et d'après lui "ça vaut toutes les peines".

    S'ils les ont conservées, [email protected]
  • 
  • Je n'aurai pas du en parler car maintenant je flippe...
  • 
  • >"L’une d’entre elles a notamment téléchargé plus de 100 Go de données, soit l’équivalent de 142 CD de données."

    C'est quoi un CD ?
publicité