Prazis - Fotolia
Etats-Unis : des systèmes d'armes bien trop vulnérables
L’organe parlementaire de contrôle des politiques fédérales américaines dresse un état des lieux préoccupant de la sécurité informatique des systèmes d'armes. Certains experts voudraient toutefois y voir une source d’encouragements.
Le Government Accountability Office (GAO), l’organe parlementaire de contrôle des politiques fédérales aux Etats-Unis, vient de publier un nouveau rapport sur la posture de sécurité informatique des systèmes d'armes du pays. Et le bilan n’est pas bien brillant.
Le Congrès a missionné le GAO pour évaluer la cybersécurité des systèmes d'armes américains et produire son rapport avant que le ministère de la Défense (Department of Defense, DoD) ne commence à enclencher son plan de 1,66 billion de dollars visant à développer ses nouveaux systèmes d'armes. Ses conclusions sont sévères : « en utilisant des outils et des techniques relativement simples, les testeurs ont pu prendre le contrôle des systèmes et s’infiltrer en grande partie sans être détectés, notamment en raison de problèmes fondamentaux tels qu’une mauvaise gestion des mots de passe et des communications non chiffrées ».
De fait, le rapport détaille de nombreux problèmes, dont un manque de temps pour que les administrateurs puissent tester la sécurité ou appliquer des correctifs. Sans compter des systèmes utilisant toujours le mot de passe administrateur par défaut. Qui plus est, le rapport fait état d'un manque de procédures d'examen des journaux d’activité et des systèmes de détection d’intrusion (IDS) qui produisent des alertes soit en trop grand nombre pour qu’elles soient traitées, ou d’une qualité insuffisante. Voire des alertes qui n’arrivent jamais à destination.
Selon le GAO, tous ces problèmes de sécurité affectant les systèmes d'armes existants pourraient avoir un impact négatif sur tout nouveau système mis au point par le ministère américain de la Défense : « du fait d’un manque d'intérêt pour la sécurité des systèmes d'armes, le DoD dispose probablement d'une génération entière de systèmes qui ont été conçus et construits sans tenir suffisamment compte de la cybersécurité. Il est plus difficile et plus coûteux de renforcer la cybersécurité à la fin du cycle de développement ou après le déploiement d'un système que de la penser dès le début ».
Surtout, pour le GAO, qui entrevoit des menaces liées à l’interconnexion de systèmes de générations différentes, « non seulement la sécurité de ces systèmes et de leurs missions est menacée, mais les systèmes plus anciens peuvent mettre en danger les systèmes plus récents. »
Le rapport du GAO n’est pas dépourvu d’illustrations. Il cite ainsi l’exemple d’une prise de contrôle à distance de terminaux d’opérateurs, par sa red team, lors des essais : « ils pouvaient voir, en temps réel, ce que voyaient les opérateurs sur leurs écrans et pouvaient manipuler les systèmes ». Et c’est sans compter les possibilités de vol ou d’altération de données.
Des réactions diverses
Edgard Capdevielle, Pdg du spécialiste de la sécurité des systèmes industriels (ICS/Scada) Nozomi Networks, ne cache pas ses inquiétudes. Pour lui, le rapport du GAO « montre que des attaquants auraient pu exploiter des faiblesses tout à fait facilement. Ils n’auraient pas eu besoin d’outils sophistiqués pour cela ». Las, relève-t-il, « c’est une réalité que l’on observe de plus en plus : les attaquants n’ont, aujourd’hui, pas besoin des ressources ou des compétences d’un Etat-nation pour réussir une attaque ».
Mais Mike Riemer, architecte en chef de la sécurité chez Pulse Secure, relativise, estimant que la cybersécurité des systèmes d'armes est un sujet autrement plus complexe que celui des systèmes d’information conventionnels : « les systèmes militaires fonctionnent dans des environnements fluides où la sécurité doit protéger les systèmes d’armes, mais aussi s’adapter à des changements de groupes, de rôles, de lieux, ou encore de chaînes de commandement. Cela va au-delà de l’authentification multifacteurs commerciale et nécessite des mécanismes d’authentification et de connexion protégées par une gestion conditionnelle des accès dans le cadre d’une stratégie sans confiance. »
Mais certains portent toutefois un regard positif sur l’effort. Bob Taylor, ancien responsable juridique du DoD, trouve ainsi « encourageant de voir une évaluation aussi franche et brutale des lacunes, car le fait d'être conscient de ces problèmes et de les affronter crée les conditions nécessaires à leur correction ». Jason Haward-Grau, RSSI de PAS à Houston, s’affiche sur la même ligne : « ces problèmes ont été identifiés maintenant, afin qu'ils puissent être résolus ».
Pour Bob Taylor, tout est désormais question de « leadership et d’engagement ». Mais ce n’est pas forcément gagner. La tentation de la politique de l’autruche ne semble pas bien loin.
Ainsi, dans son rapport, le GAO signale que même si le DoD « constatait régulièrement des vulnérabilités critiques dans les systèmes en cours d'élaboration », certains responsables du programme de défense rencontrés croyaient que les systèmes étaient sûrs. Jusqu’à parfois écarter tout simplement « certains résultats de tests comme irréalistes ».
Enfin, pour la GAO, « les vulnérabilités dont est conscient le ministère de la Défense ne représentent probablement qu’une fraction des vulnérabilités existantes en raison des limites des tests. Par exemple, tous les programmes n'ont pas été testés et les tests ne reflètent pas tout l’éventail des menaces ».