SpaceX et d’autres sociétés se précipitent pour mettre en orbite des milliers de petits satellites peu coûteux, mais la pression pour maintenir les coûts bas et un manque de réglementation rendent ces satellites vulnérables aux hackers.

Le mois dernier, SpaceX est devenu l’opérateur de la plus grande constellation de satellites actifs au monde. Fin janvier, la société comptait 242 satellites en orbite autour de la planète et prévoyait d’en lancer 42.000 au cours de la prochaine décennie. Cela fait partie de son projet ambitieux de fournir un accès Internet à travers le monde. La course pour mettre les satellites dans l’espace est lancée, avec Amazon, OneWeb, basé au Royaume-Uni, et d’autres sociétés qui tentent de mettre des milliers de satellites en orbite dans les mois à venir.

Ces nouveaux satellites ont le potentiel de révolutionner de nombreux aspects de la vie quotidienne – de l’accès à Internet dans des coins reculés du globe à la surveillance de l’environnement et à l’amélioration des systèmes de navigation mondiaux. Au milieu de la fanfare, un danger critique est passé sous le radar: le manque de normes et de réglementations en matière de cybersécurité pour les satellites commerciaux, aux États-Unis et à l’étranger. En tant qu’universitaire qui étudie les cyber conflits, je suis parfaitement conscient que cela, couplé aux chaînes d’approvisionnement complexes des satellites et aux couches d’intervenants, les rend très vulnérables aux cyberattaques.

Si les hackers devaient prendre le contrôle de ces satellites, les conséquences pourraient être désastreuses. À la fin de l’échelle, les hackers pourraient simplement fermer les satellites, refusant l’accès à leurs services. Les hackers pourraient également brouiller ou usurper les signaux des satellites, créant des ravages pour les infrastructures critiques. Cela comprend les réseaux électriques, les réseaux d’eau et les systèmes de transport.

Certains de ces nouveaux satellites ont des propulseurs qui leur permettent d’accélérer, de ralentir et de changer de direction dans l’espace. Si des hackers prenaient le contrôle de ces satellites orientables, les conséquences pourraient être catastrophiques. Les hackers pourraient modifier les orbites des satellites et les écraser sur d’autres satellites ou même sur la Station spatiale internationale.

Les pièces de base ouvrent une porte

Les fabricants de ces satellites, en particulier les petits CubeSats, utilisent une technologie standard pour maintenir les coûts bas. La grande disponibilité de ces composants signifie que les hackers peuvent les analyser pour détecter les vulnérabilités. De plus, de nombreux composants utilisent la technologie open source. Le danger ici est que les hackers pourraient insérer des portes dérobées et d’autres vulnérabilités dans les logiciels des satellites.

La nature hautement technique de ces satellites signifie également que plusieurs fabricants sont impliqués dans la construction des différents composants. Le processus d’obtention de ces satellites dans l’espace est également compliqué, impliquant plusieurs sociétés. Même une fois dans l’espace, les organisations propriétaires des satellites externalisent souvent leur gestion quotidienne à d’autres sociétés. Avec chaque fournisseur supplémentaire, les vulnérabilités augmentent, car les hackers ont de multiples opportunités d’infiltrer le système.

Le piratage de certains de ces CubeSats peut être aussi simple que d’attendre que l’un d’eux passe au-dessus et d’envoyer des commandes malveillantes à l’aide d’antennes au sol spécialisées. Le piratage de satellites plus sophistiqués n’est peut-être pas si difficile non plus.

Les satellites sont généralement contrôlés à partir de stations au sol. Ces stations exécutent des ordinateurs avec des vulnérabilités logicielles qui peuvent être exploitées par des hackers. Si des hackers devaient infiltrer ces ordinateurs, ils pourraient envoyer des commandes malveillantes aux satellites.

Une histoire de hacks

Ce scénario s’est joué en 1998 lorsque des hackers ont pris le contrôle du satellite américano-allemand ROSAT X-Ray. Ils l’ont fait en piratant des ordinateurs au Goddard Space Flight Center dans le Maryland. Les hackers ont alors demandé au satellite de diriger ses panneaux solaires directement vers le soleil. Cela a effectivement frit ses batteries et rendu le satellite inutile. Le défunt satellite s’est finalement écrasé sur Terre en 2011. Les hackers pourraient également détenir des satellites contre rançon, comme cela s’est produit en 1999 lorsque des hackers ont pris le contrôle des satellites SkyNet du Royaume-Uni.

Au fil des ans, la menace de cyberattaques contre les satellites est devenue plus grave. En 2008, des hackers, peut-être chinois, auraient pris le contrôle total de deux satellites de la NASA, l’un pendant environ deux minutes et l’autre pendant environ neuf minutes. En 2018, un autre groupe de pirates informatiques soutenus par l’État chinois aurait lancé une campagne de piratage sophistiquée visant les opérateurs de satellites et les sous-traitants de la défense. Des groupes de piratage iraniens ont également tenté des attaques similaires.

Bien que le département américain de la Défense et l’Agence de sécurité nationale aient fait quelques efforts pour lutter contre la cybersécurité spatiale, le rythme a été lent. Il n’existe actuellement aucune norme de cybersécurité pour les satellites et aucun organe directeur pour réglementer et assurer leur cybersécurité. Même si des normes communes pouvaient être développées, aucun mécanisme n’était en place pour les faire respecter. Cela signifie que la responsabilité de la cybersécurité des satellites incombe aux entreprises individuelles qui les construisent et les exploitent.

Les forces du marché vont à l’encontre de la cybersécurité spatiale

Alors qu’ils rivalisent pour être l’opérateur de satellites dominant, SpaceX et les entreprises concurrentes subissent une pression croissante pour réduire les coûts. Il y a également une pression pour accélérer le développement et la production. Il est donc tentant pour les entreprises de faire des économies dans des domaines comme la cybersécurité qui sont secondaires pour obtenir ces satellites dans l’espace.

Même pour les entreprises qui accordent une priorité élevée à la cybersécurité, les coûts associés à la garantie de la sécurité de chaque composant pourraient être prohibitifs. Ce problème est encore plus aigu pour les missions spatiales à faible coût, où le coût de la cybersécurité pourrait dépasser le coût du satellite lui-même.

Pour aggraver les choses, la chaîne d’approvisionnement complexe de ces satellites et les multiples parties impliquées dans leur gestion signifient qu’il n’est souvent pas clair qui est responsable des cyber-violations. Ce manque de clarté a engendré de la complaisance et entravé les efforts pour sécuriser ces systèmes importants.

Un règlement est requis

Certains analystes ont commencé à plaider pour une forte implication du gouvernement dans le développement et la réglementation des normes de cybersécurité pour les satellites et autres actifs spatiaux. Le Congrès pourrait travailler à l’adoption d’un cadre réglementaire complet pour le secteur spatial commercial. Par exemple, ils pourraient adopter une législation obligeant les fabricants de satellites à développer une architecture de cybersécurité commune.

Ils pourraient également rendre obligatoire le signalement de toutes les cyber-violations impliquant des satellites. Il convient également de déterminer clairement quels actifs spatiaux sont jugés essentiels afin de hiérarchiser les efforts de cybersécurité. Des directives juridiques claires sur les personnes responsables des cyberattaques contre les satellites contribueront également grandement à garantir que les parties responsables prennent les mesures nécessaires pour sécuriser ces systèmes.

Étant donné le rythme traditionnellement lent de l’action du Congrès, une approche multipartite impliquant une coopération public-privé peut être justifiée pour garantir les normes de cybersécurité. Quelles que soient les mesures prises par le gouvernement et l’industrie, il est impératif d’agir maintenant. Ce serait une grave erreur d’attendre que les pirates prennent le contrôle d’un satellite commercial et de l’utiliser pour menacer la vie, les membres et les biens – ici sur Terre ou dans l’espace – avant d’aborder ce problème.