Un chercheur alerte sur le risque de piratage des petits satellites comme ceux de la constellation de SpaceX

1
263

SpaceX et d’autres sociétés se précipitent pour mettre en orbite des milliers de petits satellites bon marché, mais la pression pour maintenir les coûts bas et un manque de réglementation rendent ces satellites vulnérables aux pirates.

Cet article a été initialement publié en anglais sur le site The Conversation. L’ayant trouvé très instructif et intéressant, nous l’avons traduit puis publié sur notre site sous licence Creative Commons comme l’autorise le site. Nous en avons profité pour détailler certains paragraphes, apporter des explications, nous avons fait des commentaires et nous avons enfin apporté certaines corrections et nuances en indiquant nos sources.

Deux CubeSats, faisant partie d’une constellation construite et exploitée par Planet Labs Inc. pour prendre des images de la Terre, ont été lancés depuis la Station spatiale internationale le 17 mai 2016. NASA

Fin janvier 2020, SpaceX est devenu l’opérateur de la plus grande constellation de satellites actifs au monde. Il s’agit du projet Starlink dans lequel, la société comptait 242 satellites en orbite autour de la planète et prévoyait d’en lancer 42 000 au cours de la prochaine décennie. Cela fait partie de l’ambitieux projet d’Elon Musk visant à fournir un accès Internet par satellites à travers le monde. La course pour mettre des satellites dans l’espace est lancée, avec Amazon, OneWeb, basé au Royaume-Uni, et d’autres sociétés qui tentent de mettre des milliers de satellites en orbite dans les mois à venir.


Note de la rédaction : La concurrence entre les différents opérateurs est très sévère et la crise économique du moment due à l’épidémie de Covid-19 ne leur facilite pas les choses. La dernière victime en date est la société OneWeb, concurrent direct de SpaceX mais qui a fait faillite et qui a dû déposer le bilan en mars 2020 dernier.


 

Ces nouveaux satellites ont le potentiel de révolutionner de nombreux aspects de la vie quotidienne – de l’accès à Internet dans des coins les plus reculés du globe à la surveillance de l’environnement et à l’amélioration des systèmes de navigation mondiaux. Au milieu de cette écosystème, un danger critique est passé sous le radar : le manque de normes et de réglementations en matière de cybersécurité pour les satellites commerciaux, aux États-Unis comme à l’étranger.

William Akoto, en tant que chercheur postdoctoral à l’université de Denver, étudie les différents cyber conflits. Il rapporte, sur le site The Conversation, que le manque de normes et de réglementations en matière de cybersécurité, couplé aux chaînes d’approvisionnement complexes des satellites et aux couches d’intervenants, les rend très vulnérables aux cyberattaques.

Si les pirates devaient prendre le contrôle de ces satellites, les conséquences pourraient être désastreuses. Ils pourraient par exemple simplement fermer les accès aux satellites et ainsi refuser l’accès à leurs services. Les pirates pourraient également brouiller ou usurper les signaux des satellites, créant des ravages pour les infrastructures critiques. Cela pourrait comprendre dans un future proche les réseaux électriques, les réseaux d’eau et les systèmes de transport.

Certains de ces nouveaux satellites ont des propulseurs qui leur permettent d’accélérer, de ralentir et de changer de direction dans l’espace. Si des pirates prenaient le contrôle de ces satellites orientables, les conséquences pourraient être catastrophiques. Les pirates pourraient modifier les orbites des satellites et les écraser sur d’autres satellites ou même, le cas le plus ultime, les écraser sur l’ISS, la Station Spatiale Internationale.

Les composants de base représentent souvent des porte d’accès faciles pour les pirates

Les fabricants de ces satellites, en particulier les petits satellites de type CubeSats, utilisent une technologie standard pour maintenir les coûts bas. L’utilisation de composants « grand public » signifie que les pirates peuvent facilement s’en procurer et les analyser pour en détecter les vulnérabilités. De plus, de nombreux de ces composants utilisent la technologie open source. Le danger ici est que les pirates pourraient insérer des  backdoor (portes dérobées) ou d’autres vulnérabilités dans le logiciel des satellites en question.


Note de la rédaction : Il faut bien comprendre ici que ce n’est pas l’Open-Source qui expose le satellite à d’avantages de menaces. C’est d’ailleurs souvent le contraire. Le risque vient plutôt du fait que ces logiciels ou composants Open-Source sont souvent mal configurés ou mal utilisés.


 

La nature hautement technique de ces satellites signifie également que plusieurs fabricants sont impliqués dans la construction des différents composants. Le processus d’obtention de ces satellites est compliqué, impliquant plusieurs sociétés. Même une fois dans l’espace, les organisations propriétaires des satellites externalisent souvent leur gestion et exploitation quotidiennes à d’autres sociétés. Avec chaque fournisseur supplémentaire, les vulnérabilités augmentent, car les pirates ont de multiples opportunités d’infiltrer les systèmes.


Note de la rédaction : En 2019, les filiales et les sous-traitants ont été la première cause d’infiltration dans les systèmes des grandes groupes. Ces structures souvent petites et mal protégées sont des proies faciles pour les pirates qui les exploitent pour atteindre les grands comptes avec lesquels elles possèdent des liaisons informatisées.


 

Les CubeSats sont de petits satellites bon marché. Svobodat / Wikimedia Commons , CC BY

Le piratage de certains de ces CubeSats peut aussi être réalisé depuis le sol, en attendant simplement que l’uns d’eux passent au-dessus et d’envoyer des commandes malveillantes à l’aide d’antennes au sol spécialisées. Le piratage de satellites plus sophistiqués n’est peut-être pas si difficile que ça pour ceux qui disposent de suffisamment de connaissances techniques.


Note de la rédaction : Bence Viktor précise qu’il accepte que les satellites les plus anciens comme Voyager construit dans les années 70 ne possèdent pas de fonctions de sécurité. Par contre, il ne peut pas imaginer un satellite nouvellement conçu comme ceux par les ingénieurs de SpaceX, ne pas posséder de fonctions de sécurité pour protéger les protocoles de communication (chiffrement des communications, échange de clés symétriques, certificats à base de clés asymétriques, authentification des peers, etc ..)


 

Les satellites sont généralement contrôlés à partir de stations au sol qui disposent d’ordinateurs et de serveurs avec des vulnérabilités logicielles qui peuvent être exploitées par des pirates. Si des pirates arrivaient à infiltrer ces ordinateurs, ils pourraient envoyer des commandes malveillantes aux satellites.

Pourquoi appelle-t-on ces satellites des CubeSats ?

Définition de l’ASC (Agence Spatiale Canadienne) : Un CubeSat est un satellite cubique miniature (10 cm x 10 cm x 10 cm soit à peu près la taille d’un Rubik’s cube) qui pèse environ 1 kg. Un CubeSat peut être utilisé seul (1 unité) ou en groupe (jusqu’à 24 unités).

Les CubeSats peuvent être utilisés seuls ou empilés pour répondre aux besoins d’une mission particulière. (Source : Agence spatiale canadienne.)

Définition de Wikipédia : CubeSat désigne un format de nano-satellites défini en 1999 par l’Université polytechnique de Californie et l’université Stanford (États-Unis) pour réduire les coûts de lancement des très petits satellites et ainsi permettre aux universités de développer et de placer en orbite leurs propres engins spatiaux. Le projet CubeSat assure la diffusion du standard et contribue à garantir l’innocuité des satellites pour la charge utile principale des lanceurs qui les mettent en orbite. Le nombre de satellites utilisant ce standard est en forte croissance.

Pour en savoir plus sur les CubeSats

Hugo Lisoir de la chaîne « L’actualité de l’espace » présente un podcast dédié aux cubsats et à leur intérêt dans le cadre du futur de l’exploration.

Quelques exemples de piratage de satellites

William Akoto avance que ce scénario se serait déjà joué en 1998 lorsque des pirates ont pris le contrôle du satellite américano-allemand ROSAT X-Ray. Ils l’auraient fait en piratant des ordinateurs du Goddard Space Flight Center dans le Maryland. Les pirates auraient alors demandé au satellite de diriger ses panneaux solaires directement vers le soleil. Cela aurait alors fait frire ses batteries et rendu le satellite inutile. Le satellite s’est finalement écrasé sur Terre en 2011.


Note de la rédaction : Après vérification auprès de Yaël Nazé, astronome FNRS à l’Institut d’astrophysique et de géophysique de l’université de Liège, il s’avère que le satellite ROSAT n’aurait jamais été piraté comme l’annonce William Akoto. Le GSFC (Goddard Space Flight Center) amende également dans ce sens. Ce scénario serait une légende urbaine qui aurait survécu. 

Bill Koonce confirme les propos de Yaël Nazé. L’histoire que raconte l’auteur sur le satellite ROSAT est une fiction complète:

  1. Ce n’était pas un « satellite à rayons X »,
  2. « Les pirates informatiques » n’en ont jamais pris le contrôle,
  3. Viser « des panneaux solaires directement depuis le soleil » est l’objet de leur conception et non un tueur de batterie,
  4. En réalité, il a dépassé sa durée de vie de 4-5 ans. Quand il a finalement cessé de fonctionner, il a été désorbité conformément au plan, de sorte qu’il ne devienne pas un débris spatial.

 

Les pirates pourraient également prendre possession des satellites contre une rançon, comme cela s’est produit en 1999 lorsque des pirates ont pris le contrôle des satellites SkyNet du Royaume-Uni.

Au fil des ans, la menace de cyberattaques contre les satellites est devenue plus grave. En 2008, des pirates, peut-être chinois, auraient pris le contrôle total de deux satellites de la NASA, l’un pendant environ deux minutes et l’autre pendant environ neuf minutes. En 2018, un autre groupe de pirates informatiques soutenus par l’État chinois aurait lancé une campagne de piratage sophistiquée visant les opérateurs de satellites et les sous-traitants de la défense. Des groupes de piratage iraniens ont également tenté des attaques similaires.

Bien que le ministère américain de la Défense et la NSA (National Security Agency) aient fait des efforts pour lutter contre les cyber-attaques spatiales, le rythme a été lent. Il n’existe actuellement aucune norme de cybersécurité pour les satellites et aucun organe directeur pour réglementer et assurer leur cybersécurité. Même si des normes communes pouvaient être élaborées, aucune autorité n’était en place pour les faire respecter. Cela signifie que la responsabilité de la cybersécurité des satellites incombe aux entreprises individuelles qui les construisent et les exploitent.

Les forces du marché vont à l’encontre de la cybersécurité spatiale

Alors qu’ils rivalisent pour être l’opérateur de satellites dominant, SpaceX et les sociétés concurrentes subissent une pression croissante pour réduire les coûts. Il y a également une pression pour accélérer le développement et la production. Cela rend tentant pour ces entreprises de réduire les coûts dans des domaines comme celui de la cybersécurité qui sont secondaires pour placer ces satellites dans l’espace.

SpaceX, dont le siège est à Hawthorne, en Californie, prévoit de lancer 42 000 satellites au cours de la prochaine décennie.

Même pour les entreprises qui accordent une priorité élevée à la cybersécurité, les coûts associés à la garantie de la sécurité de chaque composant pourraient être prohibitifs. Ce problème est encore plus aigu pour les missions spatiales à faible coût, où le coût de la cybersécurité pourrait dépasser le coût du satellite lui-même.

Pour aggraver les choses, la chaîne d’approvisionnement complexe de ces satellites et les multiples parties impliquées dans leur gestion signifient qu’il n’est souvent pas simple d’identifier les responsables des cyber-violations. Ce manque de clarté a engendré de la complaisance et entravé les efforts pour sécuriser ces systèmes importants.

Une réglementation est nécessaire

Certains analystes ont commencé à plaider pour une forte implication des gouvernements dans l’élaboration et la réglementation des normes de cybersécurité pour les satellites et autres actifs spatiaux. Le Congrès américains pourrait travailler à l’adoption d’un cadre réglementaire complet pour le secteur spatial commercial. Par exemple, ils pourraient adopter une législation obligeant les fabricants de satellites à développer une architecture commune de cybersécurité.

Ils pourraient également exiger le signalement de toutes les cyber-violations impliquant des satellites. Il convient également de déterminer clairement quels actifs spatiaux sont jugés essentiels afin de hiérarchiser les efforts en terme de cybersécurité. Des directives juridiques claires sur les personnes responsables des cyberattaques contre les satellites contribueront également grandement à garantir que les parties responsables prennent les mesures nécessaires pour sécuriser ces systèmes.


Note de la rédaction : La mise en place d’une réglementation n’est pas forcément adaptée. Les normes de cybersécurité évoluant très vite, il faudrait en permanence adapter la réglementation. Par contre, il est possible de définir des standards qui permettraient d’attribuer des accréditations ou des autorisations de déploiement pour les conceptions qui respecteraient ces standards suite à des rapports d’audits. Par contre, la définition de responsabilité sur toute la chaîne logistique est indispensable.


 

William Akoto fait remarquer qu’étant donné le rythme traditionnellement lent de l’action du Congrès américain, une approche multipartite impliquant une coopération public-privé peut être justifiée pour garantir les normes de cybersécurité. Quelles que soient les mesures prises par le gouvernement et l’industrie, il est impératif d’agir maintenant. Ce serait une grave erreur d’attendre que des pirates prennent le contrôle d’un satellite et puisse l’utiliser pour menacer la vie de nos concitoyens et les biens de la société – ici sur Terre ou dans l’espace. Il est donc urgent d’aborder ce problème maintenant.

1 COMMENT

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.