AccueilSécuritéAttaque sur le réseau satellite KA-Sat : les experts cherchent l'origine

Attaque sur le réseau satellite KA-Sat : les experts cherchent l’origine

Le dysfonctionnement de milliers de terminaux KA-Sat-9a dans plusieurs pays européens ne peut s’expliquer, selon les experts, que par une attaque sur le Network Operation Center (NOC) central. Le fait que des terminaux de différents pays soient touchés serait dû à l’organisation de l’exploitation du réseau. Les différents types de dommages sur les différentes classes de modems et les objectifs de l’attaque, qui s’est produite parallèlement au début de l’invasion russe en Ukraine, ne sont pas clairs.

KA-Sat fournit l’Internet par satellite à l’Europe et à la région méditerranéenne et est également utilisé pour connecter des installations techniques dans des zones isolées en raison de son indépendance vis-à-vis des infrastructures terrestres. Il a notamment permis de limiter le fonctionnement de milliers d’éoliennes. Les éoliennes fonctionnent toujours et produisent de l’électricité, mais elles ne sont plus accessibles pour la surveillance et le contrôle à distance, a-t-on appris au début du mois.

L’opérateur Viasat a tout d’abord déclaré qu’il s’agissait d’un « cyberévénement », mais l’entreprise américaine a entre-temps confirmé à l’Office fédéral de la sécurité des technologies de l’information (BSI) qu’il s’agissait d’une attaque. Andreas Knopp de l’Université de la Bundeswehr à Munich explique que l’indépendance vis-à-vis de l’infrastructure terrestre fait actuellement de l’Internet par satellite le principal moyen de communication, même en Ukraine. L’un des 82 « spot beams » de KA-Sat se trouve au-dessus de Kiev.

A ce jour, Viasat n’a pas levé l’alerte pour les opérateurs connectés au réseau, confirme Bernhard Neumeyer, directeur d’IPcopter. L’entreprise équipe les pompiers de systèmes satellitaires pour la communication d’urgence. Son propre modem Spotbeam 2 Plus fonctionne lors des tests de routine, mais le modem d’un client concerné ne montre que des indications LED chancelantes.

Sommaire

Le chercheur espagnol en sécurité Ruben Santamarta a été le premier à présenter une hypothèse plus détaillée pour expliquer l’attaque observée depuis le 24 février. Selon ses propres recherches, il part du principe que le réseau KA-Sat fonctionne pour tous ceux dont le modem n’a pas été endommagé pendant l’attaque. Selon ses informations, les utilisateurs en Espagne et au Portugal n’ont de toute façon pas été touchés. Les utilisateurs d’Ukraine, d’Allemagne, de Grèce, de Hongrie et d’Italie, entre autres, ont été touchés.

Dans son analyse, Santamarta conclut que l’attaque contre le réseau satellite a dû viser un point central. En fin de compte, c’est la seule façon d’expliquer la répartition aléatoire sur le réseau de l’opérateur américain. Une attaque DDoS ne suffit pas à expliquer les milliers, voire les dizaines de milliers de modems défectueux ou qui ne fonctionnent plus que par à-coups. Une impulsion électromagnétique est également très improbable au vu de la répartition, tout comme la prise de contrôle directe des terminaux Satcom, par exemple par des failles zero-day. Il faudrait plutôt un contrôle au niveau d’une passerelle centrale ou d’un NOC pour compromettre les appareils connectés, par exemple par un code malveillant ou une mise à jour logicielle manipulée.

L’intelligence du réseau KA-Sat est concentrée dans un NOC central, explique Thomas Lohrey, ancien co-développeur de l’accès Internet par satellite via KA-Sat chez Eutelsat. Les passerelles réparties en Europe permettent de gérer les terminaux, qui se composent d’une antenne parabolique et d’un modem. C’est à partir de là que les mises à jour logicielles sont régulièrement installées. Les terminaux ne reçoivent les mises à jour que dans la mesure où le modem redémarre après le téléchargement déclenché automatiquement.

Une attaque via une mise à jour logicielle, comme le suppose Santamarta, signifierait que les pirates auraient diffusé leur code malveillant via le NOC. Une demande de heise online adressée au directeur technique compétent d’Eutelsat à Turin n’a pas encore reçu de réponse. Tout comme Viasat, la filiale d’Eutelsat responsable du NOC reste discrète à ce sujet.

En fin de compte, seul l’opérateur NOC pourrait expliquer pourquoi seule une partie du réseau KA-Sat a été touchée et laquelle exactement. On sait peu de choses sur les services qui ont été affectés en Ukraine.

Une attaque ciblée sur les terminaux d’un seul pays n’est guère possible en raison de la structure du réseau KA-Sat. Chaque passerelle est responsable de dix faisceaux spot qui couvrent des postes dans différents pays. L’affectation des faisceaux aux passerelles se fait pratiquement à l’aide d’une carabine à dispersion, selon une présentation d’experts.

De leur côté, les terminaux peuvent en tout cas utiliser deux passerelles. Si l’une d’entre elles n’est pas accessible, une deuxième est prévue pour servir de sauvegarde. Ainsi, si les pirates avaient choisi une passerelle spécifique pour diffuser la mise à jour logicielle malveillante, les terminaux de différents pays auraient été touchés, comme l’a montré l’attaque. Par ailleurs, les modems situés dans la « zone cible » de l’attaque pourraient avoir utilisé par hasard leur passerelle de secours.

Knopp explique que « même si les faisceaux sont relativement indépendants les uns des autres et que les perturbations ne se répercutent pas immédiatement, si une passerelle tombe en panne suite à une cyberattaque, tous les faisceaux qui lui sont liés sont affectés ». Il est donc possible que les Russes aient voulu couper les connexions Internet en Ukraine, mais qu’ils aient ainsi déconnecté les éoliennes d’Europe centrale, suppose Knopp.

Une attaque via le NOC central serait un incident massif, dit Lohrey, et « de nombreux types de dommages sont alors envisageables dans les terminaux ». Ainsi, la mise à jour du logiciel pourrait écrire aux terminaux la mauvaise sélection de fréquence. Ensuite, les terminaux ne trouvent plus le satellite et sont pratiquement paralysés.

Il est également possible que le nouveau logiciel intervienne dans la gestion interne de la tension des modems et qu’il perturbe les processus sensibles de haute fréquence en les allumant et en les éteignant, ou qu’il accélère le « processus de vieillissement », de sorte que le matériel rend rapidement l’âme. Un tel dommage correspondrait aux observations faites chez IPcopter, où l’expert Neumeyer parle d’un modem dont les LED ne font plus que clignoter.

Ce que l’on peut déduire de l’un des modems endommagés en Allemagne est également en cours d’étude dans le laboratoire . Viasat doit rendre des comptes sur la faille par laquelle les attaquants ont pu entrer dans le NOC. Quant au motif et à la signification politique, les politiciens de la sécurité et les militaires peuvent se creuser la tête.

Plus d'articles