Une vulnérabilité critique découverte dans CryptoLib mettait en danger les communications de la NASA
Découverte d’une faille critique dans CryptoLib
C’est une découverte rare : pendant trois ans, une vulnérabilité s’est cachée dans le logiciel chargé de sécuriser les liaisons entre la Terre et les engins spatiaux de la NASA, sans être détectée. La faille a été mise au jour par AISLE, une jeune start-up californienne spécialisée en cybersécurité.
Une inspection par intelligence artificielle
Le correcteur d’AISLE est une intelligence artificielle conçue pour analyser automatiquement du code critique. En quelques jours, cet outil a identifié un point faible dans CryptoLib, le composant qui protège les communications des missions spatiales, utilisées notamment par les rovers Curiosity et Perseverance.
Nature de la faille
Les chercheurs d’AISLE expliquent que le logiciel reprenait sans vérification deux informations considérées comme inoffensives – un nom d’utilisateur et le chemin vers un fichier d’authentification – pour composer une commande destinée à vérifier l’identité d’un opérateur. En insérant directement ces valeurs dans la commande, le code était vulnérable à l’injection de caractères spéciaux ou d’instructions cachées pouvant être exécutées avec tous les droits.
Risques et portée
Concrètement, si un pirate parvenait à modifier ces paramètres – par exemple en volant des identifiants ou via du phishing – il pouvait injecter ses propres commandes. Cela aurait pu permettre de lire, altérer ou perturber des communications sensibles, voire de détourner à distance un vaisseau spatial.
- Risque d’interception et d’altération des données
- Possibilité de perturber ou détourner des commandes vers un engin spatial
- Menace pour des infrastructures spatiales représentant des milliards de dollars
Conditions d’exploitation et correctif
Les experts soulignent cependant qu’une exploitation réussie nécessitait un accès local au système, ce qui limite la surface d’attaque par rapport à une faille exploitable à distance. AISLE a contacté immédiatement les responsables du logiciel. Un correctif a été déployé rapidement pour neutraliser la vulnérabilité CryptoLib.
Enseignements
Cet épisode rappelle que même des institutions réputées et des processus d’audit rigoureux peuvent laisser passer une erreur enfouie dans des milliers de lignes de code. Il illustre également l’apport des outils automatisés et de l’intelligence artificielle pour compléter les revues humaines.
Liens utiles
Pour en savoir plus sur les missions concernées, consulter le site de la NASA : https://www.nasa.gov.
Articles connexes
Fuite de données Spotify : 256 millions de morceaux compromis
Spotify victime d’une fuite massive de données ! Anna’s Archive revendique la diffusion de 256 millions de métadonnées et 86 millions de fichiers audio. Détails et enjeux.
Fuite de données CAF : 4 millions d’allocataires exposés
Enquête sur la fuite de données CAF revendiquée : un fichier de 15 Go aurait exposé 4 millions d’allocataires. Origine inter-admin et conseils pour se protéger.
Tails publie la version 7.3.1 : correctif urgent après une vulnérabilité détectée dans la build 7.3
Tails publie une mise à jour corrective : présentation de la 7.3.1Le projet Tails a mis en ligne une version 7.3.1 en urgence après la découverte d’une vulnérabilité dans la build initiale de la 7.3. Les développeurs ont préféré retirer la publication prévue et diffuser rapidement une image corrigée pour préserver l’integrite du système. Cette […]