L’attaque de l’Agence spatiale européenne facilitée par des mots de passe trop faibles

Les serveurs de l’agence spatiale européenne (Esa) ont été piratés le 17 avril dernier (date anniversaire du retour sur Terre, en 1970, d’Appollo 13) à 17h17 précisément, a révélé le site spécialisé Zataz.com. Un exploit que son auteur, le hacker TinKode, n’a pas hésité à publier les preuves sur son blog.

On y découvre notamment l’intrusion du serveur ‘esa.int’ ainsi que la publication d’une série de comptes utilisateurs et mots de passe, y compris pour un certain nombre de serveurs FTP, d’administrateurs, webmasters, etc. En résumé, une jolie publicité pour un hacker qui n’en est pas à son premier coup. Il avait visiblement attaqué le site MySQL.com en mars dernier ainsi que le site de la marine britannique. Néanmoins, selon un porte-parole de l’Esa cité par The Register, le site web principal de l’Agence n’a pas été affecté, pas plus que son réseau interne.

Dans le cas de l’Esa, TinKode a visiblement su tirer parti d’une faille système (visiblement sous Linux), sans préciser laquelle, ce qui lui a permis de prendre le contrôle d’une machine. Mais il a surtout « été aidé par la politique de mot de passe de l’Esa », remarque Jérôme Robert, responsable produits chez SkyRecon, éditeur de solutions anti-intrusion et de chiffrement. Une politique qui laisse visiblement à désirer. Selon les documents publiés par le hacker, certains mots de passe ne dépassent pas quatre lettres, d’autres se contentent d’ajouter une année au login (editor/editor2005 par exemple) ou un caractère de ponctuation (mapinject/.mapinject).

« Qu’une organisation aussi sensible que l’Esa s’appuie sur une politique de sécurité aussi faible est assez effrayant, ajoute Jérôme Robert. C’est probablement un héritage de l’époque où la sécurité informatique n’était pas aussi importante qu’aujourd’hui. » Et de mettre en avant la désormais nécessaire éducation/sensibilisation des utilisateurs à la sécurité et les bonnes pratiques aujourd’hui indispensables en matière de sécurité, notamment sur la bonne politique des droits. Mais aussi la mise en place de solutions anti-intrusion et une politique réactive en matière de mises à jour système et applicatives. « La sécurité infaillible n’existe pas mais tout ça mis bout à bout complexifie quand même la tâche des attaquants », souligne le porte-parole de SkyRecon. Ce que n’avait visiblement pas fait l’Esa.

Il n’en reste pas moins que si un simple hacker, aussi doué soit-il, parvient à pénétrer les serveurs d’une agence animée par 18 pays européens et dotée d’un budget annuel de près de 4 milliards d’euros, que penser des intrusions orchestrées par des groupes bien plus organisés? Les regards se tournent notamment vers la Chine qui ne cache pas ses ambitions en matière de conquête spatiale (notamment d’aller sur la Lune) et qui doit s’intéresser de prêt aux données de l’Esa comme nombre d’industriels occidentaux comme EADS…