La Cybersecurity and Infrastructure Security Agency (CISA) et le FBI « sont conscients des menaces potentielles pour les réseaux de communication par satellite américains et internationaux », écrivent les deux autorités américaines dans une alerte commune publiée en fin de semaine. Il y est dit qu’une intrusion réussie dans de telles infrastructures critiques (Kritis) « pourrait représenter un risque pour les clients » des opérateurs de réseaux.

Abaisser sensiblement le seuil de notification des cyberattaques

Compte tenu de la « situation géopolitique actuelle », la CISA a demandé à toutes les organisations, dans le cadre de son initiative « Shields Up », d’abaisser considérablement le seuil de signalement et de partage des informations sur les cyberactivités malveillantes. L’alerte sera ensuite mise à jour en collaboration avec le FBI « dès que de nouvelles informations seront disponibles ». Les opérateurs de réseau et leurs clients pourraient ainsi « prendre des mesures supplémentaires de réduction des risques pertinentes pour leurs environnements ».

La CISA et le FBI demandent également aux opérateurs et fournisseurs de Kritis ainsi qu’aux utilisateurs de réseaux satellitaires d’examiner et de mettre en œuvre les mesures de renforcement de la cybersécurité décrites dans l’avis. Celles-ci doivent surveiller séparément les points d’entrée et de sortie de l’équipement afin de détecter tout « trafic anormal ». Il pourrait s’agir, par exemple, de la présence d’outils d’accès à distance non sécurisés tels que Telnet, FTP, SSH et VNC (Virtual Network Computing), qui permettent de communiquer vers et depuis des terminaux satellites.

De manière générale, le trafic réseau vers d’autres segments inattendus doit être surveillé de près, tout comme l’utilisation non autorisée de comptes locaux ou de sauvegarde, conseillent les autorités. Le trafic surprenant en provenance d’Internet vers des réseaux satellites avec des groupes fermés peut également fournir des indications sur une éventuelle cyberattaque. Il convient également de détecter les tentatives de connexion par force brute.

Danger pour les institutions situées dans des endroits isolés

A cela s’ajoutent des conseils généraux de sécurité informatique. Des méthodes d’authentification sûres devraient être utilisées, mais pas les données de connexion standard et les mots de passe faibles. Les relations de confiance dans l’écosystème informatique devraient être vérifiées et un cryptage fort « indépendant » devrait être utilisé sur toutes les liaisons de communication. Des plans d’urgence sont également essentiels.

La CISA et le FBI ne mentionnent pas de secteurs spécifiques qui pourraient être particulièrement menacés. En général, l’utilisation de la communication par satellite est très répandue aux Etats-Unis. On estime que huit millions d’Américains dépendent de tels réseaux pour leur accès à Internet. L’expert en sécurité informatique Ruben Santamarta a déclaré au magazine en ligne TechCrunchque de nombreux secteurs et domaines utilisaient ces infrastructures de communication. Il s’agissait notamment de l’administration publique, de l’aviation, des médias et de l’armée, ainsi que des usines de gaz et d’électricité situées dans des endroits isolés.

Premières attaques déjà observées en Europe

La cyberattaque contre le fournisseur Viasat et son réseau KA-Sat pour l’Internet par satellite en février, parallèlement à l’attaque armée de la Russie contre l’Ukraine, a paralysé les terminaux de dizaines de milliers de clients en Europe. Pour Santamarta, cet incident montre les dégâts qui peuvent être causés. En Allemagne, par exemple, le fonctionnement de quelque 5800 éoliennes a été limité.

Les circonstances exactes de ce « cyberévénement » ne sont toujours pas claires. Les services secrets occidentaux auraient ouvert une enquête. Des experts comme Santamarta estiment que les perturbations dans plusieurs pays européens, y compris l’Ukraine, ne peuvent s’expliquer que par une attaque contre le Network Operation Center (NOC) central de Viasat. Les attaquants ont ainsi probablement réussi à installer une mise à jour défectueuse du micrologiciel sur les terminaux.

Les chercheurs en sécurité invités à apporter un soutien actif

Dans un « rapport spécial » sur la situation de la crise ukrainienne que heise online a pu consulter fin février, l’Office fédéral de la sécurité des technologies de l’information (BSI) s’est contenté d’indiquer qu’il était « au courant qu’un opérateur de communication par satellite avait connu un dysfonctionnement ». De ce fait, « certaines installations éoliennes » ne peuvent actuellement pas être entretenues correctement. « Il ne faut toutefois pas s’attendre pour l’instant à des répercussions sur la stabilité du réseau électrique en raison des possibilités de communication redondantes des exploitants de réseau compétents ».

Selon le BSI, des analyses plus approfondies sur la cause sont « effectuées par l’entreprise concernée en échange étroit avec les autorités compétentes ». Parallèlement, le commandement du cyberespace et de l’espace d’information de l’armée allemande aurait appelé sur Twitter les chercheurs en sécurité à participer à la sécurisation de Kritis, de la presse, des organisations et des autorités, à rechercher des failles et à les signaler aux CERT (Computer Emergency Response Teams) nationales. « Cybern » n’est pas un jeu, peut-on lire dans le tweet.