La récente inspection menée sur plusieurs bases où sont déployés des missiles balistiques américains a révélé plusieurs failles dans le système de cybersécurité de ces sites qui les rendent vulnérables à toute sorte d’attaques, indique le site ZDNet se référant à un rapport officiel.
Aucun cryptage des données, aucun programme antivirus, aucun mécanisme d’authentification multifactorielle et des points faibles non éliminés depuis 28 ans, voici quelques-unes des défaillances de la sécurité informatique décrites dans un audit de sécurité du Système de défense contre les missiles balistiques (BMDS) publié vendredi par l’office général du Département de la Défense des États-Unis (DOD IG), dont le détails ont été publiés par le site ZDNet.
Ce rapport a été rédigé en avril, après que des responsables du DOD IG ont inspecté cinq sites choisis au hasard où l’Agence de défense antimissile (MDA) avait placé des missiles balistiques qui doivent intercepter les missiles nucléaires ennemis, informe la source. Et de préciser que les personnes en charge de cet audit ont relevé plusieurs problèmes dont le plus important concerne l’authentification multifactorielle.
Dans des circonstances normales, tout nouvel employé du MDA reçoit un nom d’utilisateur et un mot de passe qu’il peut utiliser pour accéder au réseau du BMDS. Après deux semaines d’ancienneté, ils reçoivent également une carte d’accès commune (CAC) qu’ils doivent activer pour ouvrir leurs comptes et utiliser avec leur mot de passe comme authentification à deux facteurs. La procédure normale indique que tous les nouveaux employés MDA doivent utiliser l’authentification multifactorielle dans les deux semaines suivant leur embauche, y est indiqué.
Toutefois, le rapport du DOD IG démontre que, sur trois des cinq sites inspectés, de nombreux employés n’utilisaient pas les CAC pour accéder aux données du BMDS. Un employé l’avait même ignoré pendant sept ans. L’absence d’authentification multifactorielle signifie que les employés sont vulnérables aux attaques au cours desquelles les malfaiteurs collectent les mots de passe et accèdent aux systèmes du BMDS à distance, poursuit l’édition.
Les inspecteurs du DOD IG ont également constaté, explique la source, que les administrateurs informatiques de trois des cinq sites visités n’avaient pas appliqué les correctifs de sécurité, ce qui rendait les ordinateurs vulnérables aux attaques distantes ou locales. Selon les enquêteurs, les systèmes n’ont pas été mis à jour pour supprimer les vulnérabilités découvertes et corrigées en 2016, 2013 et même jusqu’en 1990.
Outre les problèmes avec les logiciels, les enquêteurs ont également découvert des problèmes de sécurité physique. Par exemple, sur deux sites, les enquêteurs ont constaté que les bâtiments où se trouvaient les serveurs n’étaient pas verrouillés et étaient accessibles à toute personne qui pouvait ainsi facilement brancher un périphérique malveillant. À cela s’ajoute que les responsables du MDA n’utilisaient pas systématiquement le chiffrement lors du transfert de données entre des systèmes utilisant des supports amovibles.
D’après le rapport, ce problème a été découvert à trois endroits. À cette occasion, certains responsables ont déclaré ne pas savoir qu’ils étaient censés chiffrer les données stockées sur un support amovible, tandis qu’un autre responsable a déclaré ne pas disposer des systèmes permettant de détecter le moment où un employé télécharge des données sur un support amovible.
Sur un des sites, les auditeurs du DOD IG ont constaté l’absence des logiciels antivirus qui devraient être installés pour prévenir l’intrusion dans le système. Des responsables locaux ont imputé le problème à leurs supérieurs, qui, selon eux, n’avaient pas approuvé leur demande relative au logiciel déposée près d’un an auparavant, dit le rapporte, cité par ZDNet.
De plus, les responsables de cet audit ont déclaré que, dans de nombreux cas, les caméras de surveillance ne couvraient pas la totalité de la base, créant ainsi des angles morts qu’un assaillant pourrait exploiter pour pénétrer sur le terrain et dans les bâtiments.
Cerise sur le gâteau: le personnel du MDA n’a pas vérifié l’identité des personnes chargées de mener l’audit. Elles sont entrées dans les bâtiments sans les badges appropriés, ce qui prouve que des personnes non autorisées pouvaient se promener dans des bâtiments très secrets, y lit-on.
Source: Sputnik