Les systèmes de missiles balistiques américains sont trop peu sécurisés selon le Département de la Défense.
Alors que le gouvernement et les agences gouvernementales américaines exhortent les entreprises à mieux protéger leurs objets connectés, la Missile Defense Agency passe pour un vilain petit canard.
Dans le cadre du BMDS (Ballistic Missile Defense System), cette agence responsable des systèmes de missiles balistiques américains dépend du Département de la Défense. Ce dernier a réalisé une inspection de cybersécurité auprès de cinq zones de lancement donnant lieu à un rapport réalisé en avril 2018.
L'Internet des Objets n'est pas le seul écosystème à sécuriser
Dévoilé vendredi par le DoD, le document pointe du doigt le manque de sécurisation de certains des systèmes de missiles balistiques. Pour rappel, ils sont censés pouvoir arrêter une attaque nucléaire sur le sol américain.
Selon les informations relayées par ZDnet.com, les inspecteurs concluent que “l'Armée, la Navy et la MDA n'ont pas protégé les réseaux et les systèmes qui gèrent, stockent et transmettent les informations techniques au BMDS”.
Premier point chaud : le système de double authentification. Sur ces sites militaires, la règle est de créer aux nouveaux employés un authentifiant, un mot de passe et une carte d'accès génératrice de double authentification. Ils doivent tous suivre la procédure dans les deux semaines suivant leur embauche.
Problème présent sur trois sites sur cinq, la plupart des employés accédaient au réseau BMDS sans utiliser l'authentification multifactorielle.
Sur un des sites, l'un des employés se connectait au système de cette manière depuis sept ans. A un endroit, les inspecteurs ont découvert que le réseau des systèmes de missiles balistiques n'était même pas configuré pour l'authentification multifactorielle.
Des systèmes de missiles balistiques vulnérables au virus
Plus grave encore, sur trois sites sur cinq plusieurs correctifs de sécurité n'avaient jamais été appliqués depuis leur déploiement en 1990, en 2013, et en 2016. Les systèmes et les ordinateurs étaient donc vulnérables aux cyberattaques. Ces failles importantes seraient en cours de correction.
Il faut dire que les administrateurs IT ne semblent pas avoir pris la mesure du problème. Certains d'entre eux n'avaient tout simplement pas réussi à installer d'antivirus ou de système de détection d'intrusion informatique.
Ils ont déclaré avoir fait la demande d'achat d'un produit de sécurité appropriée il y a un an. Leurs supérieurs n'auraient pas approuvé la requête.
De même, les bases de données signalant les autorisations d'accès sur les cinq sites n'étaient pas à jour. Certains employés n'avaient même pas rempli de formulaires expliquant la raison de leur accès aux systèmes de missiles balistiques. Sur les cinq sites, les responsables n'avaient mis aucune hiérarchie d'accès en place.
Des sites sensibles peu protégés
Les attaques à distances et les manquements logistiques ne représentent pas les seules menaces. La sécurisation physique des systèmes de missiles balistiques laisse aussi à désirer.
Outre les racks de serveurs déverrouillés sur deux sites, les périphériques externes non chiffrés trouvés dans trois emplacements, les caméras de surveillance ne couvraient même pas entièrement les zones sensibles et les capteurs de détection de fermeture de portes étaient défectueux. Pire encore, les auditeurs ont pu pénétrer sur les sites sans qu'on leur demande de montrer leur badge.
Pour le Département de la Défense, ces cinq sites ne semblent pas faire figure d'exceptions. Avec 104 emplacements accueillant des missiles balistiques, il doit obliger la MDA à renforcer les normes de sécurité pour éviter toute intrusion. Cette recommandation semble particulièrement nécessaire. En effet, le DoD prévoit de construire dix autres sites pour protéger le sol américain.
Pour l'instant, les recommandations des auditeurs consistent à une mise aux normes des systèmes de missiles balistiques. Ils considèrent que ces problèmes ne sont pas encore résolus tant que les DSI des sites en question n'ont pas répondu à leur requête.
- Partager l'article :
