De faux pirates auraient appris les codes des systèmes d'armes américains en 9 secondes

Dans un récent test de cybersécurité visant à déterminer la résilience des principaux systèmes d'armes développés par le Pentagone, «des testeurs jouant le rôle d'adversaire ont été en mesure de prendre le contrôle des systèmes relativement facilement et d'opérer en grande partie sans être détectés», a fait savoir le Government Accountability Office (GAO), l'organisme d'audit, d'évaluation et d'investigation du Congrès des États-Unis chargé du contrôle des comptes publics du budget fédéral. Dans l'un des cas, les testeurs ont accédé aux systèmes en devinant les mots de passe administrateur en neuf secondes.

Dans un nouveau rapport publié le 9 octobre, le GAO a découvert que des armes américaines émergentes étaient criblées de vulnérabilités en matière de cybersécurité. «Lors d'essais opérationnels, le Département de la Défense a régulièrement découvert des cyber-vulnérabilités critiques dans des systèmes en développement, mais des représentants du GAO ont estimé que leurs systèmes étaient sécurisés et certains résultats des tests ont été considérés comme irréalistes», selon la source.

L'importance de ces cyber-vulnérabilités est double. Premièrement, le Pentagone prévoit de dépenser 1.600 milliards de dollars pour développer ses stocks de systèmes d'armes majeurs, ce qui signifie que toute information perdue pourrait être extrêmement précieuse et coûter des millions ou des milliards de dollars.

Deuxièmement, les armes américaines sont «plus informatisées et plus en réseau que jamais auparavant», ce qui augmente à terme la zone pouvant être attaquée par des cyber-adversaires.

Dans un exemple, GAO a montré un bombardier fictif qui ressemble un peu à un bombardier B-2 Stealth pour montrer à quel point certains systèmes d'armes sont informatisés. Les systèmes cyber-dépendants de l'avion fictif sont nombreux: maintenance, contrôle industriel, microélectronique, logistique, ciblage, base de données, communications, prévention des collisions, identification d'amis ou d'ennemis…

Le technologue Chris Garaffa a expliqué jeudi à Sputnik News que les conclusions du GAO témoignaient de la «terrible réalité de l'état de la cybersécurité dans l'armée américaine».

«Malgré un budget de près de 700 milliards de dollars, certaines mesures de sécurité élémentaires sont ignorées et doivent être prises en compte par tout système soumis à des exigences de sécurité, même modérées», a déclaré M.Garaffa.

«Dans d'autres cas, les mots de passe système par défaut étaient si simples que l'équipe de test a été en mesure de deviner un mot de passe administrateur en neuf secondes», tout en soulignant que les pirates pouvaient disposer de plusieurs semaines, voire de plusieurs mois, pour découvrir ces mêmes mots de passe sans être détectés.

Selon le développeur web, la méthode préférée du Pentagone pour l'achat de systèmes d'arme fait partie du problème. Le ministère de la Défense compte sur des entrepreneurs et des fournisseurs qui ont pour objectif de minimiser les dépenses et d'optimiser les profits, a-t-il noté.