Le système de défense antimissile balistique US échoue lamentablement à un audit de cybersécurité
Des manquements graves identifiés sur des sites

Le , par Michael Guilloux

89PARTAGES

15  0 
Aucun chiffrement de données, aucun mécanisme d'authentification multifacteur et une vulnérabilité datant de 1990 non encore corrigée, voici entre autres quelques défaillances relevées par l'Inspecteur Général du Département américain de la Défense (DoD IG), après un audit de cybersécurité de certains sites gérant les éléments ou informations techniques du Ballistic Missile Defense System (BMDS).

Pour information, le BMDS est le système américain de défense antimissile balistique géré par l'agence de défense antimissile (Missile Defense Agency ou MDA) des USA. Il vise à contrer les missiles balistiques à courte, moyenne et longue portée qui ciblent les États-Unis d’Amérique. Comme un tel système est contrôlé par des ordinateurs et des logiciels, il peut facilement être la cible d'attaques parrainées des États, dans le but d'en prendre le contrôle, l'endommager ou de voler des informations classifiées et du code source. Garantir sa sécurité est donc très important, mais un récent rapport de l'Inspecteur général du Département de la Défense (DoD IG) montre que le système de défense antimissile n'implémente pas du tout correctement les mesures de cybersécurité adéquates.


Le rapport, qui a été préparé plutôt cette année, fait suite à un audit de cybersécurité dans les installations du DoD pour la protection du système de défense antimissile balistique. Les responsables du bureau de l'Inspecteur Général du DOD ont choisi au hasard cinq sites qui gèrent des éléments et informations techniques du BMDS. Et l'audit a permis d'identifier des faiblesses graves sur les sites des contractants de la MDA concernant l'accès au réseau, la gestion des vulnérabilités et l'examen des journaux d'audit du système.

Le DoD IG dit avoir découvert que les administrateurs réseau et les gestionnaires de centre de données n’avaient pas mis en place des contrôles de sécurité et des processus pour protéger les informations techniques du BMDS. Le rapport indique plus précisément que l'authentification multifacteur n'a pas été utilisée systématiquement sur certains sites pour accéder aux informations techniques du BMDS, et l'un des sites n'a même pas pris la peine de configurer son réseau pour utiliser l'authentification multifacteur.

Le rapport indique également que sur trois des cinq sites visités, les responsables n'avaient mis en place aucun mécanisme pour identifier et atténuer les vulnérabilités réseau connues. Et sur l'un des sites, une vulnérabilité initialement identifiée en 1990 n'était pas encore corrigée. Entre autres problèmes rencontrés sur certains des sites visités, le rapport souligne que des données classifiées stockées sur des clés USB ou autres supports amovibles n'étaient ni protégées ni surveillées. Certains sites n'avaient pas non plus chiffré la transmission des informations techniques du BMDS, alors que d'autres n'avaient pas implémenté de capacités de détection d'intrusion sur un réseau classifié. Comme si cela n'était pas suffisant, des sites n'exigeaient aucune justification écrite comme condition d'obtention et d'élévation de l'accès au système pour les utilisateurs. Sur des sites encore, le personnel informatique ne tenait pas de base de données sur les personnes ayant accès au système et pourquoi ils y accédaient.

En plus des problèmes de sécurité informatique et de données, il y avait aussi des problèmes de sécurité physique. Le rapport cite par exemple des racks de serveur qui n'étaient pas verrouillés, des caméras de sécurité manquant à des endroits où elles devraient être installées ; et des capteurs de porte qui indiquaient que les portes étaient fermées alors qu'elles étaient en réalité ouvertes. Des personnes auraient ainsi pu accéder à des zones interdites sans difficulté.

L'Inspecteur Général du DoD a invité les sites qui gèrent les éléments et informations techniques du BMDS à développer et implémenter de mécanismes pour corriger ces problèmes. Il a également invité les différents responsables concernés à répondre à son rapport avant le 8 janvier prochain.

Avec ce que révèle le rapport du DoD IG, tout porte à croire qu'un État étranger doté de capacités de cyberattaques ou d'espionnage suffisantes ne se donnera pas beaucoup de mal à pirater les systèmes de la Défense américaine. Rappelons en effet qu'à plusieurs reprises, les USA ont accusé la Chine d'intrusion dans ses systèmes et de vols d'informations précieuses. En juin dernier par exemple, des responsables américains, s’exprimant sous le couvert de l’anonymat, ont révélé que des hackers du gouvernement chinois ont piraté les ordinateurs d'un entrepreneur de la Navy, et volé une grande quantité de données hautement sensibles liées à la guerre sous-marine. Un forfait qui aurait été commis entre janvier et février dernier.

Il y a quelques jours, The Wall Street Journal a encore rapporté que plusieurs installations de la marine américaine ont été victime de cyberattaques de la part de pirates chinois. Ces attaques auraient, selon le quotidien américain, visé principalement des données de maintenance de navires, des plans de missiles ou des technologies militaires avancées. Et elles auraient abouti, car comme le rapporte The Wall Street Journal, des responsables américains et des chercheurs en sécurité ont indiqué que plusieurs documents et des informations ultra-sensibles ont été dérobés auprès de certains entrepreneurs et de sous-traitants de la marine ; ces derniers ne disposant pas de ressources nécessaires pour sécuriser leurs réseaux de données confidentielles. Ainsi, les USA ne facilitent-ils pas eux-mêmes le piratage de leurs systèmes ?

Sources : DoD IG, Rapport du DoD IG

Et vous ?

Que pensez-vous des révélations du rapport d'audit du système de défense antimissile balistique US ?
Trop de laxisme pour un pays comme les Etats-Unis ? Comment expliquez-vous cela ?

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de marsupial
Membre expert https://www.developpez.com
Le 18/12/2018 à 19:35
Le moins que l'on puisse dire est que le bouclier antimissiles est percé. Et gravement. Si le Pentagone est sécurisé de la même manière, les américains ont perdu la prochaine guerre...
Faudrait qu'ils se réveillent. Nous sommes dans les années 2010 bientôt 2020. Tout est connecté. Les adversaires sont libres de faire un carton quand ils veulent.

Je ne sais plus sur quel fil de discussion (lien) où je disais 2 mois avant Wanna Cry que les américains cramaient tout leur budget sur l'offensive et rien sur la cybersécurité et qu'il s'agissait d'une grave erreur de stratégie. N'importe quel Etat peut entrer, désactiver le bouclier et bombarder avec les propres missiles des Etats-Unis.
Avatar de Voïvode
Membre émérite https://www.developpez.com
Le 18/12/2018 à 21:02
Ça fait longtemps que les USA ont un problème avec la sécurité de leurs missiles.

Avatar de tanaka59
Membre expérimenté https://www.developpez.com
Le 19/12/2018 à 8:35
Au moins cela fait redescendre les USA de leurs piédestal ... Pourquoi la Russie ou la Chine serait moins légitime que les USA en matière de cyberdéfense ?

Au moins quand c'est Russe c'est réputé pour être fonctionnel , pas forcement sécure ... mais robuste !
Avatar de abriotde
Membre éprouvé https://www.developpez.com
Le 19/12/2018 à 14:04
quand c'est Russe c'est réputé pour être fonctionnel , pas forcement sécure ... mais robuste
Oui enfin pour les Etats-Unis aussi, sauf que les Russes ne disent pas grand chose de leur système. Leurs audit de sécurité ne sont pas publié. C'est plus Goulag (Ou assassinat si tu n'est pas en Russie) si tu ose critiquer un truc russe.

 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web