Premier CTF dans l’espace avec Hack-A-Sat : l’US Air Force lance un Bug Bounty et invite les hackers à pirater l’un de leurs satellites en orbite

1
369
Capsule SpaceX Dragon durant son approche de l’ISS (Crédits photo : NASA)

C’est le site TechCrunch qui a révélé l’information. L’armée de l’air américaine va lancer un programme de bug bounty sous la forme d’un CTF (Captur The Flag) dont l’objectif est de pirater un vrai satellite en orbite au-dessus de la Terre.

L’année dernière, lors de la célèbre conférence de cybersécurité Defcon, l’US Air Force avait déjà demandé à des hackers de pirater l’un de leurs avions de chasse F-15. Et ils avaient réussi ! Les résultats, non rendus publiques, se sont révélés très intéressants d’après les organisateurs.

C’était la première fois que des pirates informatiques étaient autorisés à pénétrer des systèmes de l’US Air Force et à accéder physiquement au système du F-15 pour y rechercher des vulnérabilités.

Le Washington Post avait révélé qu’en seulement deux jours, une équipe de sept pirates avait réussi à découvrir plusieurs vulnérabilités critiques qui, si elles étaient exploitées dans le monde réel, auraient pu paralyser les systèmes de l’avion, causant des dommages potentiellement très graves.

U.S. Air Force F-15E Strike Eagle (Crédits photo : U.S. Air Force – Senior Airman Erin Trowe)

Will Roper, secrétaire adjoint de l’US Air Force, avait alors déclaré : «J’ai quitté cet événement en pensant qu’il y avait un énorme atout national dans ce niveau d’expertise en cyber dont nous manquons pleinement à l’US Air Force».

En effet, pendant des années, l’US Air Force a maintenu historiquement la sécurité de ses systèmes et de sa technologie dans un secret absolu, craignant l’espionnage ou le sabotage par l’ennemi. « C’était comme être coincé dans les pratiques commerciales de la guerre froide. Mais dans le monde d’aujourd’hui, ce n’est pas la meilleure posture de sécurité », avait ajouté Will Roper.

Suite au succès de cette première initiative, l’US Air Force a décidé de renouveler l’expérience et de faire à nouveau appel aux chercheurs en sécurité à l’Aerospace Village de la Defcon28 de 2020. Il s’agira cette fois de pirater un véritable satellite en orbite, planant à des kilomètres au-dessus de la surface de la terre.

Source : hachasat.com

Will Roper rappelle que les satellites, même s’ils sont loin de la terre, sont confrontés à de véritables menaces. Parmi celles-ci, il cite par exemple la possibilité d’utiliser des armes « anti-satellites » pour brouiller, aveugler ou même empêcher les engins de communiquer avec leur station de base.

Ce ne sont pas seulement les satellites en orbite qui sont menacés. Les stations terrestres et les liaisons de communication entre la Terre et le ciel pourraient être aussi vulnérables que les satellites eux-mêmes, a déclaré Will Roper.

Le programme, cette année, s’appelle « Hack-A-Sat », un programme de sécurité spatiale dans lequel il s’agit donc d’attaquer un véritable satellite en orbite et d’y repérer des bugs et des failles que l’ennemi pourrait exploiter.

Teaser vidéo

C’est un changement de paradigme pour l’US Air Force qui était habitué jusqu’à maintenant à construire des systèmes fermés et verrouillés. En passant à des systèmes semi-ouverts, cela permet d’ouvrir la technologie « satellite » à la communauté au sens large, tout en réservant la technologie la plus classée à ses experts et ingénieurs internes.

L’objectif de cette initiative n’est pas seulement de corriger les bugs existants mais aussi de consolider la chaîne d’approvisionnement pour éviter l’introduction de nouveaux bugs, ajoute Will Roper.

Comment s’inscrire ?

Les règles de participation à « Hack-A-Sat » ont été publiées en détails sur le site web du programme hackasat.com (voir le PDF). Le formulaire d’inscription est en ligne depuis le 22 avril.

Les épreuves de qualification

Il s’agit dans un premier temps de participer aux épreuves de qualification qui se dérouleront en ligne à partir du 22 mai. Les candidats devront relever plusieurs défis en piratant un satellite de test sous la forme d’un kit et résoudre le plus grand nombres de challenge en 48h. La fin des épreuves de qualification est prévue le 24 mai.

L’objectif de ces épreuves de qualification est de repérer les meilleurs éléments et de ne garder que « la crème de la crème », comme le précise Will Roper.

Source : hachasat.com

En quoi consiste l’épreuve finale ?

Seules les 10 meilleures équipes seront qualifiées pour l’épreuve finale qui se déroulera lors de la conférence Defcon 2020 à Las Vegas au mois d’août. Le challenge de l’épreuve finale a été révélé. Outre le fait que les hackers devront attaquer un vrai satellite, ils devront également tenter de pirater sa caméra et de prendre une photo de la Lune comme preuve (le fameux « flag »). Les trois premières équipes recevront des prix allant de 20.000 à 50.000 dollars.

Avec la Pandémie de Coronavirus actuelle qui se poursuit, les organisateurs pourraient organiser l’épreuve finale à distance. Outre le fait qu’ils espèrent que les pirates trouveront des vulnérabilités, l’événement vise également à permettre une prise de conscience au plus haut niveau au sein de l’US Air Force et de changer sa façon de penser la sécurité.

Will Roper espère ainsi qu’à l’avenir, l’armée de l’air américaine pensera à travailler différemment, en faisant plus souvent appel à la communauté de hackers dès lors qu’ils concevront un satellite. « Si cette future génération se concrétise, nous serons alors dans une bien meilleure posture cyber. »

Pour en savoir plus

Pour ceux qui sont intéressés et qui veulent en savoir plus sur le programme « Hack-A-Sat », les organisateurs ont rédigé une FAQ.

Ressources

Source : hachasat.com

1 COMMENT

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.