samedi 8 octobre 2011

Exclusif : quand les drones US s'enrhument

L'information livrée il y a quelques heures par Wired fait et continuera de faire des vagues : le système de surveillance et de détection des cyber-menaces HBSS, opéré par la DISA, a mis à jour la contamination des stations de contrôle des drones militaires Predator et Reaper par un keylogger !

La nouvelle est suffisamment importante pour qu'elle fasse le buzz dans les jours qui viennent et l'on peut déjà recenser les quelques éléments importants qui soulignent l'importance de l'affaire. En premier lieu, et malgré les efforts déployés, le malware n'a pu être éradiqué. Les spécialistes de la DISA ont constaté, stupéfaits, qu'à chaque fois qu'ils pensaient le malware définitivement supprimé, il "revenait" ! 

D'autre part, les mêmes experts émettent un certain nombre de doutes qui font penser que le niveau d'attaque est relativement important, non maîtrisé et avec des effets, pour le moment, entièrement inconnus ! Ils pensent, contradictoirement, que le programme est "bénin" mais sans certitude. Ils ne savent pas non plus si le keylogger est d'origine accidentelle ou bien intentionnelle. Enfin, ils semblent penser qu'il a pu infecter une partie ou l'ensemble des réseaux informatiques de la base aérienne de Creech (qui opère une grande partie des drones US) et que, possiblement, des informations confidentielles ont pu circuler vers Internet ! Vu le contexte, le ciblage et la difficulté à éradiquer le malware, on pourrait presque penser que ce dernier a été spécifiquement conçu et introduit !

Toutes proportions gardées et avec la réserve qui convient, cette affaire fait étrangement écho à Stuxnet mais surtout à l'opération Buckshot Yankee en 2008. Notons cependant la transparence (suspecte ?) des autorités américaines qui ont communiqué sur le sujet et que les vols des drones, qui ne sont pas directement concernés, se poursuivent toujours au-dessus de l'Afghanistan, du Pakistan ou du bassin somalien.

Edit (10 octobre) : peu d'informations ont circulé depuis l'article de Wired mais il existe une autre piste, intéressante, d'un chercheur en sécurité. Il existe 2 sociétés qui fournissent le Pentagone en solutions de monitoring, en particulier des rootkits qui, entre autre, font du keylogging. Même si l'explication est sensée et recouvre une réalité, j'ai un peu de mal à croire que la DISA, l'organisme militaire en charge des problématiques des réseaux et des infrastructures IT, ainsi que des problématiques de sécurité associées, n'ait pas toutes les informations nécessaires quant aux produits et solutions qu'elle peut être amené à déployer, opérer ou auditer ! 

Il est alors possible que l'explication soit bien plus simple et qu'elle n'ait pas besoin de contrefeu ou de silence embarrassé. Pourquoi, en fait, ne s'agirait-il pas d'une introduction accidentelle via un support amovible (clé USB selon toute vraisemblance) ? Cet article de Geekosystem semble le penser et je trouve les arguments avancés plutôt convaincants.


Aucun commentaire: