Intrapole
VOUS  TES ICI : Accueil » Intrapole » Actualité »

Les serveurs de la Nasa vulnérables à des attaques

par Christophe Auffray, ZDNet France. Publié le 31 mars 2011

Sécurité - Une agence fédérale américaine a publié son rapport d’audit sur la sécurité informatique de la Nasa. Et le constat est sévère puisque des vulnérabilités critiques ont été identifiées. La direction des missions spatiales n’a par ailleurs toujours pas implémenté les préconisations du précédent audit, daté pourtant de mai 2010.

L’audit du système informatique de la Nasa par une agence gouvernementale américaine, l’OIG (Office of the Inspector General), a mis évidence des failles de sécurité critiques. En 2008, c’est la détection de virus sur des PC utilisés sur la station spatiale internationale qui avait fait grand bruit.

Selon le rapport rendu public par l’OIG, ces vulnérabilités, exploitables à distance via Internet, exposent la Nasa, et ses infrastructures sensibles, à des attaques. Six serveurs en particulier sont pointés du doigt en préambule du compte rendu d’audit.

Les auditeurs qui ont pu accéder à des clés de chiffrement

Or ces serveurs sont associés aux actifs informatiques contrôlant la navette spatiale de l’agence américaine, et hébergeant des données critiques. Selon les auditeurs, des attaques contre ces machines afin d’en prendre le contrôle ou de les rendre indisponibles sont un scénario plausible du fait d’une sécurité défaillante.

Il ne s’agit toutefois pas des seules failles identifiées par l’OIG. Celui-ci indique en effet avoir pu accéder, sur un des réseaux de la Nasa, à des serveurs contenant des clés de chiffrement, des mots de passe chiffrés et des données relatives à des comptes utilisateurs.

« Ces données sont sensibles et fournissent à des attaquants des moyens additionnels pour obtenir des accès non autorisés à des réseaux de la Nasa » souligne l’audit. Ces défaillances tiennent à une évaluation et à une atténuation des risques jugées insuffisantes.

Des machines connectées à Internet non supervisées

De même, l’agence aérospatiale se serait montrée trop lente à confier à la sécurité des systèmes d’information la responsabilité de superviser et d’appliquer les mesures de protection adéquates.

Or, un précédent rapport, daté de mai 2010, avait déjà souligné l’existence de ces risques informatiques et préconisé la mise en oeuvre d’un programme consacré à la sécurité du SI. Si la Nasa a approuvé les recommandations de l’OIG, elle ne les avait en revanche toujours pas implémentées en février 2011.

« Tant que la Nasa n’a pas adressé ces défaillances critiques et amélioré ses pratiques en matière de sécurité IT, l’Agence est vulnérable à des incidents informatiques qui pourraient avoir un effet de sévère à catastrophique sur ses actifs, ses opérations et son personnel. »

Outre l’application effective de ses premières recommandations, l’OIG préconise à la direction des missions spatiales d’identifier immédiatement les ordinateurs de ses réseaux accessibles par Internet et de prendre des actions rapides afin d’atténuer les risques et superviser en permanence ces postes connectés.

Source : zdnet.fr