Une vulnérabilité critique découverte dans CryptoLib mettait en danger les communications de la NASA
Découverte d’une faille critique dans CryptoLib
C’est une découverte rare : pendant trois ans, une vulnérabilité s’est cachée dans le logiciel chargé de sécuriser les liaisons entre la Terre et les engins spatiaux de la NASA, sans être détectée. La faille a été mise au jour par AISLE, une jeune start-up californienne spécialisée en cybersécurité.
Une inspection par intelligence artificielle
Le correcteur d’AISLE est une intelligence artificielle conçue pour analyser automatiquement du code critique. En quelques jours, cet outil a identifié un point faible dans CryptoLib, le composant qui protège les communications des missions spatiales, utilisées notamment par les rovers Curiosity et Perseverance.
Nature de la faille
Les chercheurs d’AISLE expliquent que le logiciel reprenait sans vérification deux informations considérées comme inoffensives – un nom d’utilisateur et le chemin vers un fichier d’authentification – pour composer une commande destinée à vérifier l’identité d’un opérateur. En insérant directement ces valeurs dans la commande, le code était vulnérable à l’injection de caractères spéciaux ou d’instructions cachées pouvant être exécutées avec tous les droits.
Risques et portée
Concrètement, si un pirate parvenait à modifier ces paramètres – par exemple en volant des identifiants ou via du phishing – il pouvait injecter ses propres commandes. Cela aurait pu permettre de lire, altérer ou perturber des communications sensibles, voire de détourner à distance un vaisseau spatial.
- Risque d’interception et d’altération des données
- Possibilité de perturber ou détourner des commandes vers un engin spatial
- Menace pour des infrastructures spatiales représentant des milliards de dollars
Conditions d’exploitation et correctif
Les experts soulignent cependant qu’une exploitation réussie nécessitait un accès local au système, ce qui limite la surface d’attaque par rapport à une faille exploitable à distance. AISLE a contacté immédiatement les responsables du logiciel. Un correctif a été déployé rapidement pour neutraliser la vulnérabilité CryptoLib.
Enseignements
Cet épisode rappelle que même des institutions réputées et des processus d’audit rigoureux peuvent laisser passer une erreur enfouie dans des milliers de lignes de code. Il illustre également l’apport des outils automatisés et de l’intelligence artificielle pour compléter les revues humaines.
Liens utiles
Pour en savoir plus sur les missions concernées, consulter le site de la NASA : https://www.nasa.gov.
Articles connexes
Piraterie des ondes : la FCC met en garde contre des attaques visant des équipements Barix mal configurés
Piraterie des ondes : la FCC met en garde contre des attaques visant des équipements Barix mal configurésLa Commission Fédérale des Communications (FCC) avertit d’une série d’intrusions visant des stations de radio américaines. Des pirates exploitent des appareils de transmission audio Barix, souvent exposés à Internet avec des configurations par défaut, pour diffuser de fausses […]
Nouvelle vague d’attaques sur npm ‘Sha1-Hulud’ : centaines de paquets compromis et exfiltration de secrets
Nouvelle vague d’attaques sur npm « Sha1-Hulud » : centaines de paquets compromis et exfiltration de secretsPlusieurs acteurs de la cybersécurite tirent la sonnette d’alarme : une seconde vague d’attaques visant le registre npm reproduit des techniques proches de l’attaque Shai-Hulud. Les firmes Aikido, HelixGuard, Koi Security, Socket, Step Security et Wiz rapportent que des centaines de […]
Intrusion chez Eurofiber France : le système de ticketing compromis, Eurofiber renforce la sécurité
Intrusion chez Eurofiber France : le système de ticketing compromis, Eurofiber renforce la sécuritéCe qui s’est passéEurofiber France, opérateur majeur de réseaux fibre et de services cloud en France, a confirmé une intrusion visant son système de ticketing et le portail client utilisé par ses marques régionales (Eurafibre, FullSave, Netiwan et Avelia). Selon le groupe, […]