Les systèmes d'armes développés par le département américain de la Défense sont vulnérables aux cyberattaques, ce qui signifie qu'un malfaiteur possédant des compétences de piratage pourrait potentiellement prendre le contrôle de ces armes sans être remarqué, selon un nouveau rapport du US Government Accountability Office (GAO), publié en octobre 9.
Et le DOD semblait inconscient des menaces: même si les tests effectués par le DOD lui-même ont montré de telles vulnérabilités, les responsables du département ont déclaré au GAO qu'ils "pensaient que leurs systèmes étaient sécurisés et ont écarté certains résultats des tests comme irréalistes", selon le rapport, qui repose sur une analyse des tests, politiques et directives de cybersécurité du DOD, ainsi que des entretiens avec le DOD.
"En utilisant des outils et des techniques relativement simples, les testeurs ont pu prendre le contrôle des systèmes et opérer en grande partie sans être détectés, en partie à cause de problèmes de base tels qu'une mauvaise gestion des mots de passe et des communications non cryptées", indique le rapport.
En fait, une équipe de test a craqué le mot de passe d'un administrateur en seulement 9 secondes. Un responsable du DOD a déclaré que le temps de piratage du mot de passe n'est pas une mesure utile de la sécurité d'un système car un attaquant peut passer des mois ou des années à essayer de s'introduire dans un système; avec cette chronologie, que cela prenne quelques heures ou quelques jours pour deviner qu'un mot de passe n'a pas de sens. Cependant, le GAO a déclaré qu'un tel exemple révèle à quel point il est facile de le faire au DOD. (L'écrivain câblé Emily Dreyfuss a rendu compte de la fissure du mot de passe de 9 secondes le 10 octobre.)
L'analyse et le rapport ont été demandés par le Comité sénatorial des forces armées en prévision des 1,66 billion de dollars que le DOD prévoit de dépenser pour développer son "portefeuille" actuel de systèmes d'armes majeurs.
De plus en plus, les systèmes d'armes dépendent de logiciels pour remplir leurs fonctions. Les armes sont également connectées à Internet et à d'autres armes, ce qui les rend plus sophistiquées, selon le GAO. Ces avancées les rendent également "plus vulnérables aux cyberattaques", a déclaré le GAO.
Toute partie d'un système d'armes pilotée par un logiciel peut être piratée. "Des exemples de fonctions activées par le logiciel - et potentiellement susceptibles de compromettre - incluent la mise sous et hors tension d'un système, le ciblage d'un missile, le maintien des niveaux d'oxygène d'un pilote et le vol d'un avion", indique le rapport du GAO.
Bien que le DOD ait commencé à améliorer la cybersécurité au cours des dernières années, a déclaré le GAO, il fait face à plusieurs défis, dont l'un est le manque de partage d'informations entre les programmes. Par exemple, "si un système d'armes subissait une cyberattaque, les responsables du programme DOD ne recevraient pas de détails spécifiques de cette attaque de la part de la communauté du renseignement en raison du type de classification de ces informations", indique le rapport.
En outre, le DOD a du mal à recruter et à retenir des experts en cybersécurité, selon le rapport.
Bien que le GAO ait déclaré ne pas avoir de recommandations pour le moment, l'agence pense que les vulnérabilités détectées dans son analyse "représentent une fraction du total des vulnérabilités en raison des limitations des tests. Par exemple, tous les programmes n'ont pas été testés et les tests ne reflètent pas la gamme complète des des menaces."
Article original sur Science en direct.
