Cet article fait partie de notre exclusivité Série IEEE Journal Watch en partenariat avec IEEE Xplore.
Le 3 juillet 1996, la Terre faisait face à une destruction presque absolue par une force extraterrestre planant au-dessus de trois des plus grandes villes du monde. L’espoir de survie de l’humanité a diminué après que la force brute n’a pas réussi à contrecarrer les attaquants. Mais un petit morceau de code informatique malveillant a changé le cours de l’histoire lorsqu’il a été téléchargé sur le système informatique des extraterrestres le lendemain. Le logiciel malveillant—alerte spoil-a désactivé les défenses des navires envahisseurs et a finalement sauvé le sort de l’humanité.
Du moins, c’est ce qui s’est passé dans le film de science-fiction extrêmement spéculatif de 1996 Jour de l’indépendance.
Pourtant, pour tous les situations défiant la réalité décrites par le blockbuster, la réalité potentielle d’une attaque de logiciel malveillant faisant des ravages sur une future mission de vaisseau spatial avec équipage inquiète beaucoup les experts en sécurité numérique. Grégory Falcoprofesseur adjoint de génie civil et de systèmes à Johns Hopkins, a exploré le sujet dans un article récent présenté au printemps 2023 Conférence aérospatiale IEEE. L’inspiration pour l’étude, dit-il, est venue de sa découverte d’un manque relatif de fonctionnalités de cybersécurité dans les combinaisons spatiales de nouvelle génération de l’équipage Artemis.
“Peut-être que vous pourriez penser à sécuriser la liaison de communication avec votre satellite, mais les choses dans l’espace font toutes confiance au reste des choses dans l’espace.”
—James Pavur, ingénieur en cybersécurité
“La réalité était qu’il n’y avait aucune spécification quand ils ont eu leur appel à propositions [for new spacesuit designs] qui avait quelque chose à voir avec le cyber[security]», dit Falco. “C’était frustrant pour moi de voir. Ce document n’était pas censé être révolutionnaire… Il était censé être une sorte d’appel pour dire : « Hé, c’est un problème. ”
Alors que les vols spatiaux habités se préparent à entrer dans une nouvelle ère moderne avec Le programme Artemis de la NASA, Station spatiale chinoise de Tiangonget un nombre croissant des entreprises naissantes de tourisme spatial, la cybersécurité est au moins autant un problème persistant là-haut qu’ici-bas. Son ampleur n’est que renforcée par le fait que les pannes de système provoquées par la malveillance – dans le vide froid et impitoyable de l’espace – peuvent dégénérer en vie ou en mort avec seulement quelques faux pas inopportuns. Les approches de la cybersécurité de l’ère Apollo et même de la navette spatiale sont en retard pour une mise à jour, dit Falco.
“La sécurité par l’obscurité” ne fonctionne plus
Lorsque les États-Unis et d’autres nations spatiales, telles que l’Union soviétique de l’époque, ont commencé à envoyer des humains dans l’espace à la fin des années 1960, il n’y avait pas grand-chose à craindre en matière de risques de cybersécurité. Non seulement les systèmes massivement interconnectés comme Internet n’existaient pas encore, mais la technologie à bord de ces engins était si sur mesure qu’elle se protégeait grâce à une approche de « sécurité par l’obscurité ».
Cela signifiait que la technologie était si complexe qu’elle se protégeait efficacement contre la falsification, dit James Pavurchercheur en cybersécurité et ingénieur principal en logiciels de cybersécurité chez une société de logiciels Istari Global.
Une conséquence de cette approche de sécurité est qu’une fois que vous parvenez à entrer dans les systèmes internes de l’engin – que vous soyez un membre d’équipage ou peut-être dans les années à venir un touriste de l’espace – vous aurez un accès complet aux systèmes en ligne avec essentiellement zéro questions posées.
Cette approche de sécurité n’est pas seulement peu sûre, dit Pavur, mais elle est également très différente de l’approche de confiance zéro appliquée à de nombreuses technologies terrestres.
“La cybersécurité a été quelque chose qui s’arrête en quelque sorte sur le terrain”, dit-il. “Par exemple, vous pourriez peut-être penser à sécuriser la liaison de communication avec votre satellite, mais les choses dans l’espace font toutes confiance au reste des choses dans l’espace.”
La NASA n’est pas étrangère aux attaques de cybersécurité sur ses systèmes terrestres – près de 2 000 “cyberincidents” ont été commis en 2020 selon une NASA de 2021 rapport. Mais les types de menaces qui pourraient cibler les missions d’engins spatiaux avec équipage seraient très différents des e-mails de phishing, explique Falco.
Quelles sont les cybermenaces dans l’espace ?
Les cybermenaces contre les engins spatiaux avec équipage peuvent se concentrer sur des approches de proximité, telles que l’installation de logiciels malveillants ou de rançongiciels dans l’ordinateur interne d’un engin. Dans son article, Falco et coauteur Nathanaël Gordon exposent quatre façons dont les membres d’équipage, y compris les touristes spatiaux, peuvent être utilisés dans le cadre de ces menaces : l’équipage en tant qu’attaquant, l’équipage en tant que vecteur d’attaque, l’équipage en tant que dommage collatéral et l’équipage en tant que cible.
“Cela s’apparente presque à la sécurité des dispositifs médicaux ou à des choses de cette nature plutôt qu’à l’ouverture d’e-mails”, déclare Falco. “Vous n’avez pas le même type de menaces que vous auriez pour un réseau informatique.”
Parmi une foule de scénarios troublants, des secrets de propriété – à la fois privés et nationaux – pourraient être volés, l’équipage pourrait être mis en danger dans le cadre d’une attaque de ransomware, ou les membres d’équipage pourraient même être délibérément ciblés par une attaque contre des systèmes critiques pour la sécurité comme filtres à air.
Tous ces types d’attaques ont eu lieu sur Terre, disent Falco et Gordon dans leur article. Mais le haut niveau de publicité du travail ainsi que la nature intégrée des engins spatiaux – proximité physique et réseau étroite des systèmes au sein d’une mission – pourraient rendre la cyberattaque contre les engins spatiaux particulièrement attrayante. Encore une fois, augmentant les enjeux, l’environnement hostile de l’espace extra-atmosphérique (ou lunaire ou planétaire) rend les cybermenaces malveillantes encore plus périlleuses pour les membres d’équipage.
À ce jour, des menaces mortelles comme celles-ci n’ont heureusement pas affecté les vols spatiaux habités. Bien que si la science-fiction fournit un système d’avertissement à l’horizon pour la forme des menaces à venir, considérez les classiques de la science-fiction comme 2001 : L’odyssée de l’espace ou Extraterrestre-dans lequel un membre d’équipage non humain est capable de contrôler les ordinateurs des engins afin de modifier la route du navire et même d’empêcher un membre d’équipage de quitter le navire dans une capsule de sauvetage.
À l’heure actuelle, disent Falco et Gordon, il n’y a pas grand-chose pour empêcher un mauvais acteur ou un membre d’équipage manipulé à bord d’un vaisseau spatial de faire quelque chose de similaire. Heureusement, la présence croissante d’humains dans l’espace offre également l’opportunité de créer des changements matériels, logiciels et politiques significatifs entourant la cybersécurité de ces missions.
Saadia Pekkanen est le directeur fondateur du Space Law, Data and Policy Program de l’Université de Washington. Afin de créer un environnement fertile pour ces innovations, dit-elle, il sera important pour les pays à dominante spatiale comme les États-Unis et la Chine de créer de nouvelles politiques et législations pour dicter comment faire face au risque de cybersécurité de leurs propres nations.
Bien que ces changements n’affectent pas directement la politique internationale, les décisions prises par ces pays pourraient également orienter la manière dont d’autres pays traitent ces problèmes.
« Nous espérons que le dialogue se poursuivra au niveau international, mais une grande partie de l’action réglementaire viendra en fait, selon nous, au niveau national », déclare Pekkanen.
Comment le problème peut-il être résolu ?
L’espoir d’une solution, dit Pavur, pourrait commencer par le fait qu’un autre secteur de l’aérospatiale – l’industrie des satellites – a fait progrès récents vers une cybersécurité plus grande et plus robuste de leur télémétrie et de leurs communications (comme indiqué dans un article de synthèse de 2019 publié dans la revue IEEE Aérospatial et systèmes électroniques).
Falco pointe vers les normes de cybersécurité terrestres pertinentes, y compris la protocole de confiance zéro— qui obligent les utilisateurs à prouver leur identité pour accéder aux systèmes qui séparent les opérations critiques pour la sécurité de toutes les autres tâches à bord.
La création d’un environnement de sécurité plus favorable aux pirates éthiques – le genre de pirates qui cassent des choses pour trouver des failles de sécurité afin de les corriger au lieu de les exploiter – constituerait une autre étape cruciale, a déclaré Pavur. Cependant, ajoute-t-il, cela pourrait être plus facile à dire qu’à faire.
« C’est très inconfortable pour l’industrie aérospatiale parce que ce n’est tout simplement pas vraiment la façon dont ils pensaient historiquement à la gestion des menaces et des risques », dit-il. “Mais je pense que cela peut être vraiment transformateur pour les entreprises et les gouvernements qui sont prêts à prendre ce risque.”
Falco note également que les vols touristiques spatiaux pourraient bénéficier d’un équivalent spatial de la TSA, pour s’assurer que les logiciels malveillants ne sont pas introduits en contrebande à bord dans les appareils numériques d’un passager. Mais peut-être le plus important, au lieu de “couper et coller” des solutions terrestres imparfaites dans l’espace, Falco dit que le moment est venu de réinventer la façon dont le monde sécurise les cyberinfrastructures critiques en orbite terrestre et au-delà.
“Nous devrions profiter de cette opportunité pour proposer des paradigmes nouveaux ou différents sur la manière dont nous gérons la sécurité des systèmes physiques”, a-t-il déclaré. « C’est un espace blanc. Prendre des choses qui sont à moitié foutues et qui ne fonctionnent pas parfaitement au départ et les intégrer dans ce domaine ne servira vraiment personne comme nous en avons besoin.
À partir des articles de votre site
Articles connexes sur le Web
