Chloé Moreau
Des milliers de satellites sont actuellement en orbite autour de la Terre, et il y en aura bien d’autres à l’avenir. Des chercheurs de l’Université de la Ruhr à Bochum et du CISPA Helmholtz Heart for Info Security à Sarrebruck ont évalué la sécurité de ces systèmes d’un level de vue informatique. Ils ont analysé trois satellites actuels en orbite terrestre basse et ont constaté que, d’un position de vue procedure, pratiquement aucun strategy de sécurité moderne n’était mis en œuvre. Divers mécanismes de sécurité qui sont normal dans les téléphones mobiles et les ordinateurs portables modernes n’étaient pas présents : par exemple, il n’y avait pas de séparation du code et des données. Des entretiens avec des développeurs de satellites ont également révélé que l’industrie s’appuie principalement sur la sécurité par l’obscurité.
Les résultats ont été présentés par une équipe dirigée par Johannes Willbold, doctorant de Bochum, le Dr Ali Abbasi, chercheur de Sarrebruck, et le professeur Thorsten Holz, anciennement à Bochum, maintenant à Sarrebruck, au Symposium IEEE sur la sécurité et la confidentialité, qui a eu lieu à San Francisco du 22 au 25 mai 2023. L’article a reçu un Distinguished Paper Award lors de la conférence.
Satellites de recherche et satellite commercial mis à l’épreuve
Les satellites examinés étaient deux petits modèles et un modèle de taille moyenne – des satellites de recherche ainsi qu’un satellite d’une société commerciale – qui orbitent autour de la Terre à une courte length et sont utilisés pour observer la Terre. L’accès aux satellites et à leur logiciel a été un défi pour l’équipe, automobile les fournisseurs commerciaux, en particulier, souhaitent rarement révéler des détails. Les chercheurs ont finalement obtenu l’accès grâce à la coopération avec l’Agence spatiale européenne (ESA), diverses universités impliquées dans la construction de satellites et une entreprise commerciale.
L’équipe de Bochum et de Sarrebruck a effectué une analyse de sécurité approfondie des trois modèles. Ils ont examiné en détail ce que fait le logiciel exécuté sur les appareils et quels protocoles de conversation sont utilisés. Ils ont émulé les systèmes, c’est-à-dire qu’ils les ont reconstruits virtuellement, afin de pouvoir tester le logiciel comme s’il se trouvait dans un vrai satellite. “C’était un monde très différent des systèmes que nous étudions habituellement. Par exemple, des protocoles de conversation complètement différents ont été utilisés”, comme Thorsten Holz décrit le processus.
Systèmes avec des exigences spécifiques
Les satellites en orbite autour de la Terre ne peuvent être atteints par leur station au sol sur Terre que dans une fenêtre temporelle de quelques minutes. Les systèmes doivent être robustes contre le rayonnement dans l’espace et, comme ils ne peuvent consommer qu’une petite quantité d’énergie, ils ont une faible puissance de sortie. “Les débits de données sont comme ceux des modems dans les années 1990”, comme Holz explique les défis auxquels sont confrontés les développeurs de satellites.
Sur la base des résultats de l’analyse du logiciel, les chercheurs ont élaboré divers scénarios d’attaque. Ils ont montré qu’ils pouvaient couper les satellites du contrôle au sol et prendre le contrôle des systèmes, par exemple pour prendre des pictures avec la caméra satellite. “Nous avons été surpris que le niveau de sécurité technique soit si faible”, souligne Thorsten Holz, ajoutant la mise en garde suivante concernant les ramifications potentielles : “Il ne serait pas si facile de diriger le satellite vers un autre endroit, par exemple, pour écrasez-le ou faites-le entrer en collision avec d’autres objets.”
Sondage auprès des développeurs
Pour savoir remark les personnes qui développent et construisent des satellites abordent la sécurité, l’équipe de recherche a compilé un questionnaire et l’a soumis à des instituts de recherche, à l’ESA, au Centre aérospatial allemand et à diverses entreprises. Dix-neuf développeurs ont participé anonymement à l’enquête. “Les résultats nous montrent que la compréhension de la sécurité dans l’industrie est différente de celle de nombreux autres domaines, en particulier qu’il s’agit de la sécurité par l’obscurité”, conclut Johannes Willbold. De nombreux répondants ont donc supposé que les satellites ne pouvaient pas être attaqués parce qu’il n’y avait aucune documentation sur les systèmes, c’est-à-dire qu’on ne savait rien à leur sujet. Seuls quelques-uns ont déclaré chiffrer les données lors de la conversation avec les satellites ou utiliser l’authentification afin de s’assurer que seule la station au sol est autorisée à communiquer avec le satellite.
“Cependant, un manque de documentation ne protège pas nécessairement contre les attaques”, souligne Moritz Schloegel, co-auteur de l’article. “Aujourd’hui, les systèmes peuvent être compris grâce à la rétro-ingénierie et leurs vulnérabilités peuvent être identifiées. L’un des objectifs de notre projet était donc de rassembler les communautés satellite et sécurité pour favoriser une compréhension mutuelle des défis des programs spatiales et de la sécurité. normes en vigueur aujourd’hui. »
