Des dizaines de milliers de terminaux rendus inutilisables, plus d’un million d’abonnés privés d’internet, près de 6000 éoliennes déconnectées de leur réseau… Le 24 février 2022 vers 5h du matin, au moment même où l’armée russe envahissait l’Ukraine, l’entreprise américaine de communication par satellites Viasat était victime d’une cyberattaque dévastatrice. Positionné au-dessus de l’Europe, le satellite géostationnaire visé fournissait alors des services à différentes entreprises et institutions à travers le continent. Dont des policiers et des militaires ukrainiens… Probablement les seules cibles.
En France, chaque citoyen utilise entre 10 et 40 satellites pour téléphoner, se géolocaliser et réaliser d'autres actions de la vie quotidienne.
« Il est encore trop tôt pour l’affirmer, mais ce jour-là le secteur spatial a peut-être vécu son 11 septembre », commente Mathieu Bailly, responsable « Espace » de la jeune entreprise franco-suisse de cybersécurité Cysec. Ce n’était pas la première fois bien sûr qu’un satellite était piraté – le premier exemple de hacking date de 1977, avec la diffusion d’un message de mise en garde à l’humanité en lieu et place d’une émission de radio. Mais en impactant des utilisateurs bien au-delà de l’Ukraine – notamment des éoliennes en Allemagne pour une capacité totale de 11 GW, soit l’équivalent d’une douzaine de réacteurs nucléaires – la cyberattaque révélait certaines fragilités que peu imaginaient. « On estime que chaque citoyen en France utilise entre 10 et 40 satellites pour téléphoner, se géolocaliser et réaliser d'autres actions de la vie quotidienne, expliquera quelques jours plus tard le porte-parole du ministère des Armées à l'occasion d'un point presse. Un déni d'accès à des capacités satellitaires, et ce sont des pans entiers de l'économie qui s'effondrent. »
Des risques bien réels
Début avril, Mathieu Bailly organisait à Paris le salon Cysat, un événement destiné à se faire rencontrer les professionnels de la sécurité informatique et les ingénieurs du secteur spatial. « Le marché des missions civiles commerciales est en plein boom, mais chez les nouveaux acteurs du domaine il y a un manque de maturité sur la question de la cybersécurité. Or, les risques sont réels », prévient le vice-président de Cysec. Tous les professionnels du secteur se souviennent des années noires, il y a 10 ans, qu’a traversé le domaine émergent des objets connectés. Les industriels avaient commencé à fabriquer des montres connectées, des frigos connectés, des caméras connectées, sans se préoccuper beaucoup de sécurité informatique. Résultat : presque n’importe quel petit malin pouvait allumer à distance la webcam de son voisin ou éteindre son frigo ! Surtout, beaucoup d’entreprises ont dû faire face à cette époque à des logiciels malveillants et des demandes de rançon (ransomwares). « En réalité, plusieurs industries ont déjà eu leur 11 septembre cyber, reprend Mathieu Bailly. On l’a vu dans la banque il y a 15 ans, dans l’internet des objets il y a 10 ans, dans le domaine du commerce maritime il y a 5 ans — quand le numéro 1 mondial a perdu 300 millions en quelques jours après avoir subi une attaque sur son cloud —, et on souhaiterait maintenant qu’il y ait une vraie prise de conscience dans le secteur spatial. »
Par « secteur spatial », il faut entendre « New Space ». Car c’est bien la ribambelle de jeunes sociétés et autres start-ups qui fleurissent dans le domaine qui inquiètent les informaticiens. Thomas Girard, de la compagnie CSGroup (qui travaille avec Airbus, Thalès, l’ESA) souligne qu’il y a « plusieurs types de systèmes en orbite : ceux pour la communication, pour l’observation de la Terre, puis les militaires. » Pour ces derniers et pour les satellites du secteur régalien en général, « la cybersécurité est prise en compte depuis des décennies dès la phase de conception. » Et avec une culture du secret que les spécialistes désignent par une expression parlante : security by obscurity.
Mais pour les satellites commerciaux, qui plus est à l’ère du New Space, c’est une autre affaire ! En 2021, le doctorant en science informatique James Pavur (Oxford) a publié un article éclairant à ce propos. Selon lui, un simple cubesat embarqué dans la coiffe d’une fusée Falcon Heavy de SpaceX était capable de truquer le signal GPS reçu par le lanceur. Autrement dit, un nanosatellite de quelques dizaines de milliers de dollars pouvait compromettre un lancement coûtant 100 fois plus cher ! Qui plus est sur un lanceur embarquant éventuellement un satellite plus important ou des dizaines d’autres nanosats (en 2020, le tir Vega VV16 SSMS emportait par exemple 53 satellites pour le compte de 23 clients venus de 13 pays, depuis l’armée thaïlandaise jusqu’à une filiale de Facebook, en passant par un institut de physique nucléaire russe…).
En cause : la facilité d’accès à la documentation des composants et logiciels du commerce utilisés pour les cubesats – du pain béni pour un cyberattaquant –, tout comme le profil de leurs maîtres d’œuvre, qui sont des start-up ou des universités bien plus perméables aux intrusions malveillantes que les agences spatiales établies ou les acteurs gouvernementaux. « Avec toutes ces nouvelles entreprises qui apparaissent sur le marché du spatial, et les dizaines de milliers de satellites qui seront lancés dans les prochaines années, la doctrine du security by obscurity ne peut pas fonctionner », martèle Mathieu Bailly. Il faut au contraire tirer parti de la circulation des informations pour améliorer la sécurité informatique des satellites dès leur conception (security by design).
25 000 $ de prime chez SpaceX
« Sur ce point, il nous faut évangéliser les acteurs du New Space », explique Romain Lecoeuvre. En 2015, l’informaticien rennais a cofondé YesWeHack, une société qui organise des chasses aux bugs informatiques pour le compte de différentes entreprises et institutions — de la Poste Suisse à Doctolib, en passant par le gouvernement français. Le principe de ces « bug bounty » est simple : une entreprise rend public un logiciel ou un produit numérique dont elle souhaite tester la sécurité et rémunère par une prime quiconque lui signale une faille. Ces sortes de chasses au trésor pour informaticiens qu’organise YesWeHack ont déjà séduit « 35 000 hackers éthiques de plus de 170 pays », précise Romain Lecoeuvre. Le modèle a fait ses preuves. Et comme après tout, « un satellite, c’est un ordinateur en orbite », il milite pour l’importer dans le secteur spatial.
« Sauf que lancer un bug bounty implique évidemment de donner accès à son code, ce qui n’est pas vraiment dans la culture de ce milieu », explique Mathieu Bailly. Outre-atlantique, certaines entreprises du secteur s’y sont déjà mises avec succès. Cas emblématique : SpaceX. « Pour son réseau Starlink, l’entreprise a un programme de bug bounty permanent, raconte Romain Lecoeuvre. Ses ingénieurs font appel à des hackeurs éthiques pour tester leur système sol, leur service web, tout le matériel jusqu’aux satellites eux-mêmes ! » Et avec des primes qui peuvent grimper jusqu’à 25 000 dollars…
Au début de l’invasion de l’Ukraine, cette façon « agile » de gérer la sécurité informatique a fait ses preuves. Après que Starlink eut envoyé des milliers d’antennes de réception de ses satellites dans le pays, à la demande de son vice-premier ministre, le réseau a été victime d’une tentative de brouillage par les Russes. La rapidité de la réponse des ingénieurs d’Elon Musk a impressionné jusqu’aux officiels du Pentagone. Le directeur de la guerre électronique pour le bureau du secrétaire à la Défense, Dave Tremper, soulignant même que le code compromis avait été réparé plus rapidement que l’armée américaine aurait pu le faire !
La capacité de Starlink à faire des mises à jour de ses logiciels plusieurs fois par jour a permis à la constellation de satellites de resister aux attaques de la Russie.
Présent en distanciel au salon Cysac, l’ancien responsable de la cybersécurité pour l’US Air Force et la Space Force, Nicolas Chaillan, était sur la même longueur d’onde : « La capacité de Starlink à faire des mises à jour de ses logiciels plusieurs fois par jour est ce qui a permis à la constellation de résister aux attaques de la Russie. Les ingénieurs ont réussi à réparer leur code en moins de 4 heures. » SpaceX teste ses logiciels à un rythme extrêmement rapide. Et le fait sur ses satellites jusqu’à la veille du lancement. « Par comparaison, la capacité de mise à jour des logiciels du programme militaire du futur avion de chasse F-35 de l’US Air Force — un investissement de 1300 milliards de dollars qui emploie 4000 développeurs — c’est une fois par an au mieux », précisait le responsable. Aux États-Unis, il a participé à développer dans le secteur spatial la culture du hacking éthique propre aux informaticiens en lançant notamment le bug bounty Hack-a-Sat, financé par l’US Air Force et la Space Force. « Sur ces sujets, les Américains ont trois longueurs d’avance », reconnaît Romain Lecoeuvre. Toutefois, l’Europe bouge aussi, puisque l’ESA a lancé cette année pour la première fois un concours similaire, Hack-Cysat, en partenariat avec YesWeHack et Cysec.
« Le bug bounty consistait à tenter de hacker le cubesat OPS-SAT, lancé par l’ESA en 2019, précise Mathieu Bailly. Nous avons reçu une vingtaine de propositions et avons sélectionné trois équipes qui devaient faire une démonstration pendant le salon. » Avec un objectif pédagogique : « Montrer aux ingénieurs du spatial comment un hackeur réfléchit. » Compte tenu de la situation internationale, à peine plus d’un mois après le début de la guerre en Ukraine et le piratage (réel, lui) du satellite de Viasat, l’ESA n’a finalement pas souhaité qu’il y ait de démonstration pendant le salon. « Mais le lancement de ce concours montre déjà une ouverture d’esprit », reconnaît Romain Lecoeuvre. Tout en précisant que les agences spatiales n’ont pas le choix : avec le déficit d’ingénieurs en cybersécurité et la concurrence qui s’annonce pour les recruter, il va falloir savoir séduire les jeunes pour rester dans la course.
Les recettes des hackeurs
Réciproquement, pour que la sauce prenne vraiment, les hackeurs à capuche grandis à l’ombre de leur ordinateur vont devoir s’adapter aux subtilités du spatial… « Hacker un satellite qui file à 28000 km/h à 500 km d’altitude, ce n’est pas tout à fait comme pirater un serveur dans une entreprise », expliquent en substance Aris Adamantiadis et Xavier Mehrenberger. En 2021, ces deux spécialistes de la sécurité informatique et leur équipe SolarWine ont remporté le concours Hack-a-Sat organisé par l’US Air Force. C’était leur deuxième participation. Xavier Mehrenberger se souvient : « La première année, le scénario était le suivant : des hackeurs avaient pris le contrôle d’un satellite d’observation de la Terre en exploitant une vulnérabilité du site web de la compagnie. Il ne prenait plus de photo du sol, et il y avait une demande de rançon. Notre but était de reprendre la main sur le satellite. Cela n’a pas été simple ! Il a fallu comprendre des choses auxquelles, en tant qu’informaticien, nous ne sommes pas habitués. » Calcul d’orbite, orientation par rapport au Soleil, protocoles de communication radio : « Nous avons dû potasser de la doc pendant deux mois. Avec le satellite sous les yeux, envoyé par les organisateurs, se souvient Aris Adamantiadis. Mais c’était passionnant. Ce n’est pas tous les jours qu’on a la possibilité de travailler sur des technologies spatiales... »
Au bout du compte, la principale leçon de ce genre d’exercice est que les systèmes spatiaux, comparés aux cibles classiques des hackeurs, offrent « une plus grande surface d’attaque » selon Mathieu Bailly. On peut non seulement les pirater en s’attaquant au « segment sol », à savoir les ordinateurs qui communiquent directement avec eux, le réseau sur lequel ces ordinateurs sont branchés, mais aussi en émettant directement vers les engins en orbite, ou en brouillant leur signal. « Certains petits malins s’amusent à faire du replay : ils réémettent vers le satellite une séquence de commandes qu’ils ont intercepté plus tôt. Il peut alors se passer des choses bizarres », révèle François Alter, du Cnes. D’autres simulent volontairement un signal GPS pour tromper la constellation de satellites sur leur localisation réelle – « cela s’est vu dans le domaine de pêche illégale. »
Heureusement, communiquer à un satellite une séquence de commandes cousue main depuis son jardin reste compliqué : « Les protocoles de chiffrement de communication sont théoriquement difficiles à casser, souligne Aris Adamantiadis. Le plus simple reste encore d’attaquer la station au sol avec laquelle communique avec le satellite. » C’est d’ailleurs ce qui s’est passé fin février 2022 pour Viasat et son satellite KA-SAT : les pirates – sans doute issus de l’espionnage militaire russe, selon le Washington Post – se sont introduits dans le segment sol pour diffuser un maleware via le satellite. Des dizaines de milliers de terminaux informatiques ont été touchés, mais le satellite lui-même n’a pas été menacé.
Une menace sur les missions d'exploration spatiales ?
11 septembre ou pas, l’attaque symbolise en tout cas la réalité des nouvelles guerres, hybrides. « Avant les années 2000, dans un conflit vous aviez trois composantes : air, terre, mer. Désormais, il y a en plus une composante espace et une composante cyberespace », souligne Romain Lecoeuvre. Dans ce nouveau contexte, et compte enu des tensions grandissantes avec la Russie, on peut évidemment se poser la question : au-delà des satellites commerciaux en orbite terrestre, une menace pèse-t-elle sur les sondes d’exploration, voire sur les futures missions lunaires ? François Alter se veut rassurant : « Pour ce genre de mission, nous travaillons avec les standards de sécurité informatique les plus élevés. » Surtout, explique-t-il en rappelant la vocation civile et militaire du Cnes, « nous savons depuis longtemps que la cybersécurité ne se limite pas à la protection de tel ou tel élément spécifique. C’est un système de défense en profondeur, qui va du composant électronique le plus basique jusqu’à l’organisation humaine qui opère tout ça. » L’agence spatiale française a bien sûr une équipe cyber-obs opérationnelle 24h/24h, à Toulouse, qui vérifie les attaques potentielles sur la base de Kourou, ainsi que sur tous les satellites qu’elle gère. Dans la même ligne, l’ESA annonçait le 22 décembre 2021 la création de son tout nouveau centre pour la cybersécurité, chargé de protéger tous les systèmes de l’agence contre les interférences extérieures, qu’il s’agisse de ses infrastructures au sol ou ses satellites en orbite.
Aris Adamantiadis veut aussi croire qu’en plus de leur complexité, ces missions emblématiques à destination des planètes ou ces grands télescopes spatiaux sont protégés, d’une certaine manière, par la fascination qu’ils exercent sur les profils scientifiques : « Parmi les gens qui ont la compétence nécessaire pour s’attaquer à ces sondes, je n’imagine pas qu’il y en ait beaucoup qui aient envie de le faire. » Les cybercriminels sont le plus souvent des opportunistes rationnels qui s’attaquent à des cibles faciles pour un maximum de profit en un minimum de temps. Pas des ingénieurs fous prêts à mobiliser du temps et des moyens pour le plaisir de mettre en panne un robot sur Mars.
Cette anecdote semble lui donner raison : à l’automne 2021, le bateau qui emmenait le James Webb Space Telescope de la Californie à la Guyane a débranché sa balise GPS pendant son trajet sur les océans. La Nasa ne souhaitait pas que l’on puisse suivre à la trace son joyau à 10 milliards de dollars. Craignait-elle une éventuelle capture en vue d’une demande de rançon ? Pour cette mission en tout cas, les pirates traditionnels étaient probablement une menace plus crédible que les cyberpirates...