Close

Cybersécurité des systèmes d’armes aux États-Unis : le constat inquiétant du Government Accountability Office (GAO)

Le 9 octobre 2018, le Government Accountability Office (GAO), l’équivalent américain de la Cour des Comptes, a publié un rapport sur la cybersécurité des systèmes d’armes des forces armées américaines[1]. C’est la première fois que cette institution rédige un rapport sur ce sujet. Les conclusions alarmistes n’ont pas manqué de susciter de nombreuses réactions au sein de la communauté de défense américaine.

La digitalisation des systèmes d’armes et l’interconnexion progressive des réseaux ont accru la surface d’attaque et les vulnérabilités auxquelles ces systèmes sont exposés. Toute connexion est aujourd’hui un point d’entrée, une faille potentielle au sein d’un système et plus largement d’un système de système. Et ce en raison des nombreuses interfaces que possèdent désormais les systèmes d’armes (port USB utilisé pour la maintenance, port permettant l’accès au système de diagnostic embarqué, récepteur radar, récepteur de communications radio, équipements électroniques personnels des opérateurs, etc.).

L’étude du GAO repose sur des travaux du Department of Defence (DoD) et de diverses organisations gouvernementales[2] d’une part, et sur des entretiens menés auprès de responsables de ces entités d’autre part. Elle couvre neuf grands programmes d’armement en cours de développement, non rendus publics, qui se veulent représentatifs de chaque armée, de la majorité des domaines de lutte, et des différents degrés d’interconnexion des systèmes d’armes. Le GAO n’a pas directement réalisé de tests de cybersécurité car il ne dispose pas des moyens nécessaires, mais il a analysé les résultats des évaluations de cybersécurité réalisés entre 2012 et 2017 par le DoD, notamment via le DOT&E[3], qui est en charge de la conduite des essais de développement et opérationnel.

 

Des résultats inquiétants

Les résultats de l’audit conduit par le GAO entre juillet 2017 et octobre 2018 sont alarmants. Des vulnérabilités qualifiées de « critiques » ont été découvertes dans quasiment tous les systèmes d’armes alors qu’ils étaient encore en développement. Dans l’ensemble, les faiblesses identifiées touchaient aussi bien les capacités de protection, de détection, de réponse que de résilience (recover).  Les red teams du DoD ont même été capables de prendre le contrôle, partiel ou total, de certains systèmes, en peu de temps. Parfois, ces intrusions n’ont même pas été détectées par les opérateurs. Pourtant, les testeurs eu recours à des outils et techniques relativement basiques et ne disposaient que d’un temps limité. A ce propos, le manque de rigueur dans la politique de gestion des mots de passe s’est avéré être un problème récurrent facilitant les intrusions. Dans plusieurs cas, les mots de passe par défauts des logiciels commerciaux ou open-source installés n’avaient même pas été modifiés. Le GAO a également découvert que les vulnérabilités précédemment identifiées n’avaient pas toutes été corrigées. En matière de capacités de détection, il ressort que les analyses de logs ne sont pas réalisées de manière systématique et régulière.

Autre élément d’inquiétude du GAO : les tests de sécurité réalisés n’étant pas exhaustifs, le DoD ne connaît pas à ce jour l’étendue exact de ses vulnérabilités. Et ce d’autant plus que les évaluations de cybersécurité sont conduites sur de courtes périodes de temps et que leur périmètre est parfois limité à certains réseaux pour des raisons de sécurité.

 

Une prise en compte tardive de la nécessité de la cybersécurité « by design »

Jusqu’en 2014, le DoD se concentrait surtout sur la cybersécurité périmétrique des réseaux et non sur la cybersécurité des systèmes d’armes. La formulation d’exigences en matière de cyber-résilience dans les spécifications des futurs systèmes d’armes n’était alors pas systématique. En conséquence, le DoD possède aujourd’hui en inventaire de nombreux systèmes d’armes pour lesquels la cybersécurité n’a pas été prise en compte nativement (« by design »).  Par exemple les contraintes de cybersécurité ont été complètement négligées dans les spécifications du programme GPS OCX (Operational Control Segment) de l’US Air Force. C’est l’une des raisons de la procédure de révision « Nunn-McCurdy » dont il a fait l’objet en 2016. De même, la cybersécurité n’était pas prise en compte dans la dimension AoA (Analysis of Alternative), étape pourtant importante dans un programme d’armement pour évaluer l’efficacité, les coûts et les risques potentiels. Enfin, jusqu’à cette date, le DOT&E ne réalisait pas systématiquement d’évaluation de cybersécurité avant la mise en œuvre en service d’un nouveau système d’armes.

Des mesures correctives …

Depuis, le DoD a pris un certain nombre de mesures pour remédier à cette situation et faire en sorte que la cybersécurité s’applique jusqu’aux systèmes d’armes. Aussi, une quinzaine de directives, documents d’orientation et mémo destinés à favoriser la prise ne compte de la cybersécurité dans les systèmes d’armes ont été publiés ou actualisés depuis 2014. Citons ici :

  • L’Instruction ministérielle DODI n° 8500.01 de 2014 qui identifie les responsabilité et procédures relatives à la gestion des risques cyber tout au long du cycle de vie des systèmes d’armes[4];
  • Le mémorandum Procedures for Operational Test and Evaluation of Cybersecurity in Acquisition Programs de 2014, [5];
  • La Cyber Strategy du DoD de 2015 qui plaide pour l’amélioration de la cybersécurité des systèmes d’armes, la définition de standards pour ses futurs systèmes et une réforme des politiques et pratiques d’acquisition pour favoriser la cybersécurité tout au long du cycle de vie des systèmes[6].
  • Le DoD Cybersecurity test and Evaluation Guidebook[7]de 2015;
  • La directive DODI n° 5000.02 de 2017 faisant de la cybersécurité une exigence devant être prise en compte dans chaque aspect d’un programme[8].

 

Par ailleurs, les armées américaines se sont dotées en interne de structures devant favoriser une meilleure prise en compte de la cyber sécurité dans les systèmes d’armes :

  • US Navy : le programme Cybersecurity Safety (CYBERSAFE) institué en 2015 ;
  • US Air Force : le Cyber resilience Office for Weapons Systems créé en 2017 ;
  • US Army : la Task Force Cyber Strong établie en 2017.

 

… confrontées à des limites rédhibitoires

Si ces diverses initiatives d’ordre normatives et organisationnelles sont encourageantes, leur efficacité demeure limitée par certains freins devenus structurels et rédhibitoires. Le premier est lié aux difficultés du DoD à recruter et retenir ses experts en cybersécurité en raison, d’une part du manque de main d’œuvre qualifiée sur le marché, et d’autre part de la concurrence avec le secteur privé qui offre des conditions de travail et de rémunération plus avantageuses. Cette difficulté n’est pas cependant pas propre au DoD et est partagée par l’ensemble des structures gouvernementales. Le DoD éprouve tout particulièrement des difficultés pour disposer d’experts disposant à la fois de connaissances sur les procédures d’acquisition, les systèmes d’armes, et la cybersécurité. Le manque d’opérateurs au sein des Red Team est particulièrement criant, ce qui n’est pas sans poser problème car les besoins en la matière ont doublé depuis 2009. Ce déficit de personnels qualifiés provoque ainsi des retards dans les essais opérationnels et réduit les capacités de ces équipes à conduire les évaluations. En outre, cela accroît leur rythme opérationnel et réduit le temps dédié à leur formation, alors même qu’elles ont constamment besoin de se tenir à jour sur les outils et techniques utilisés par leurs adversaires.

Dans son rapport, le GAO évoque par ailleurs des difficultés dans le partage de l’information et des connaissances sur les vulnérabilités et menaces au sein du DoD, qui par exemple ne possède pas encore de politique de classification des informations relatives à la cybersécurité. Quant aux informations concernant les vulnérabilités des systèmes d’armes et les menaces, leur niveau de classification élevé permet certes de les protéger mais empêche leur diffusion au sein du DoD. Concrètement, cette incapacité à partager l’information se traduit à plusieurs niveaux. Par exemple :

  • Les responsables de systèmes ne disposent d’informations sur les systèmes auxquels leur système est connecté,
  • Les responsables de programmes ne reçoivent pas d’informations sur les attaques touchant les autres systèmes d’armes,
  • Les organismes réalisant les audits de sécurité et développant des stratégies de remédiation ne sont pas habilités à partager les informations dont ils disposent sur les vulnérabilités observées,
  • Les opérateurs de systèmes ne disposent pas tous du même niveau d’accès à l’information,
  • Dans le cas de l’US Navy, certains bâtiments ne disposent pas des équipements et systèmes adéquats pour recevoir et stocker des informations hautement classifiées une fois qu’ils ont déployés en mer.

 

Un rapport partiel et à vocation politique

Ce travail du GAO demeure incomplet, le périmètre de l’audit excluant les vulnérabilités liées à chaîne d’approvisionnement, à la microélectronique, ou aux automates industriels (ICS/SCADA). La question de la cybersécurité de la chaîne d’approvisionnement est pourtant majeur. Les exemples en la matière ne manquent pas[10]. Preuve qu’il s’agit d’un enjeu majeur, le DoD souhaiterait à l’avenir pouvoir tester le niveau de sécurité des réseaux classifiés et non classifiées de ses fournisseurs au moyen de Red Teams. Des discussions entre le département et les industriels sur les modalités et le périmètre de cette pratique ont déjà été engagées[11].

Dans l’ensemble, ce rapport n’apportera que très peu d’informations nouvelles aux fins connaisseurs du sujet. Cependant, ce document constitue une bonne synthèse de l’état de l’art et porter le problème au niveau politique –le GAO étant rattaché au Congrès qui est le premier destinataire de ses audits. Le rapport ne contient ainsi aucune conclusion et se veut davantage descriptif que prescriptif. Le paysage alarmiste qui dessiné devrait alerter le pouvoir législatif sur les difficultés récurrentes constatées pour limiter les vulnérabilités dans les systèmes d’armes et pourrait favoriser la prise de mesures, budgétaires et/ou normatives, destinées à les atténuer.

 

[1] « DOD Juste beginning to Grapple with Scale of Vulnerabilities », Government Accountability Office (GAO), 09/10/2018 https://www.gao.gov/products/GAO-19-128

[2] National Research Council (NRC), Defense Science Board (DSB), GAO, etc.

[3] Crée en 1983 à l‘initiative du Congrès, le DOT&E (US Office of the Director Operational Test & Evaluation, l’équivalent local de la Direction Technique (DT) de la DGA,) est responsable de l’approbation des programmes d’essais des grands programmes d’armement.

[4] https://fas.org/irp/doddir/dod/i8500_01.pdf

[5] http://www.dote.osd.mil/pub/policies/2014/8-1-14_Procs_for_OTE_of_Cybersec_in_Acq_Progs(7994).pdf

[6] http://archive.defense.gov/home/features/2015/0415_cyber-strategy/final_2015_dod_cyber_strategy_for_web.pdf

[7]  http://www.dote.osd.mil/docs/tempguide3/cybersecurity_te_guidebook_july1_2015_v1_0.pdf

[8] https://www.dau.mil/guidebooks/Shared%20Documents%20HTML/DoDI%205000.02.aspx#toc311

[9] http://www.dote.osd.mil/pub/reports/FY2016/pdf/other/2016DOTEAnnualReport.pdf