Lors de la convention DEF CON 28 hacker d’août 2019 à Las Vegas, Nev., l’US Air Force a apporté un système de données d’avions de combat F-15 et a lancé un appel à tous ceux qui voudraient essayer de pirater et de prendre le contrôle de ses opérations.
Des équipes de pirates informatiques et de chercheurs en sécurité ont démonté l’unité et ont signalé les failles de sécurité du système au fur et à mesure qu’elles les découvraient. Les responsables militaires étaient très satisfaits des résultats de l’expérience et ils ont décidé de revenir en 2020 — avec un satellite.
DEF CON est l’une des plus grandes conventions de hackers, et c’est un événement annuel à Las Vegas depuis juin 1993. Il attire des pirates informatiques et des professionnels de la sécurité informatique ainsi que des employés du gouvernement fédéral, des chercheurs en sécurité, des journalistes et des étudiants. En 2019, Will Roper, secrétaire adjoint de l’Armée de l’Air pour l’acquisition, la technologie et la logistique, a expliqué à Brian Barrett du magazine Wired pourquoi sa branche des forces armées transportait du matériel d’avion de chasse à la conférence.
« Nous devons surmonter notre peur de faire appel à des experts externes pour nous aider à être en sécurité. Nous portons encore des procédures de cybersécurité des années 1990…. Nous supposons que si nous construisons des choses à huis clos et que personne ne les touche, elles seront sécurisées. Cela pourrait être vrai dans une certaine mesure dans un monde analogique. Mais dans le monde de plus en plus numérique, tout a des logiciels dedans. »À cela Barrett a ajouté une note de bas de page rappelant aux lecteurs que tous les logiciels contiennent inévitablement des bogues qui peuvent être exploités.
Un TIR DE LUNE
Cette année, DEF CON 29 a de nouveau fait la même offre aux participants, réels et virtuels, avec un autre concours nommé Hack-A-Sat 2 (HAS2). Il a été mis en place de la même manière que l’année dernière avec un appel à candidatures, un tour préliminaire de qualification avant la DEF CON en août, puis la compétition finale entre les qualifiés. Toute personne qui pensait pouvoir pirater un satellite ou sa station au sol était invitée à postuler.
Et ce n’était pas seulement hacker prestige qui serait en jeu; les récompenses en espèces étaient très attrayantes. Les 10 meilleures équipes qualifiées ont reçu 10 000 each chacune, la troisième place a reçu 20 000 $, la deuxième 30 0003 et le premier prix de la compétition finale était de 50 000 $.
La phase préliminaire de juin 2021 comportait une série de défis tels que des problèmes à résoudre avec le codage, la recherche de choses, des énigmes et la nécessité de montrer un certain contrôle sur les systèmes. Cela serait suivi plus tard dans l’année par un concours complet de capture du drapeau (CTF) de style DEF CON. L’événement final a été organisé sur du matériel physique typique des architectures et des conceptions utilisées dans les satellites réels.
Roper a décrit l’étendue de la pénétration du système avec l’un des problèmes à résoudre: « Ce que nous prévoyons de faire, c’est de prendre un satellite avec une caméra, de le pointer vers la Terre, puis de demander aux équipes de prendre le contrôle des cardans de la caméra et de se tourner vers la lune. Donc, un coup de lune littéral. »Les candidats devaient réussir à faire prendre une photo de la lune par le satellite, puis récupérer cette image sur leur ordinateur.
Le demandeur n’avait besoin que d’un ordinateur pour se connecter via un réseau privé virtuel à l’infrastructure du jeu, de préférence avec une connexion haut débit. Ils devaient également être prêts à être contrôlés. Le défi « moon shot » a permis à plus de 2 000 équipes composées de 6 000 personnes de se connecter, d’apprendre et de tester leurs compétences. Aerotech News a rapporté: « Parmi ces équipes se trouvaient les meilleurs hackers du monde, qui, lors de la dernière manche, ont défendu un défi de piratage de satellites en orbite jamais réalisé auparavant. »
Du point de vue de l’Armée de l’Air, le lieutenant général John F. Thompson, alors commandant des États-Unis. Le Centre des systèmes spatiaux et des missiles de la Force spatiale a validé le projet avec le jugement suivant: « Le premier Hack-A-Sat a été un énorme succès en réunissant un groupe diversifié d’organisations et de particuliers gouvernementaux, commerciaux et privés pour tester et développer des solutions de cybersécurité pour nos réseaux spatiaux uniques. »
LES RÈGLES
Le 4 mai 2021, l’application du Laboratoire de recherche de l’Armée de l’air a été publiée pour le défi de cette année. Toutes les équipes intéressées par une compétition en deux étapes avec des récompenses en espèces et une cache de pirates importante peuvent remplir la demande de 17 pages, qui comprend un formulaire de décharge à remplir par les parents ou les tuteurs pour les mineurs de votre équipe, quatre pages de questions juridiques abordant en détail les responsabilités et un formulaire de chambre de compensation automatisée pour acheminer les chèques des gagnants.
Les règles de l’Armée de l’air pour le concours offrent des informations intéressantes sur la façon de bénéficier de la coopération sans risquer d’être coopté dans le processus. Les règles HAS2, comme l’application, sont également un document de 17 pages. Il décrit les procédures pour l’événement de qualification et le format du concours final du FCT: « L’événement final sera un FCT de style « attaque / défense » qui se produit à l’aide d’un système spatial simulé comprenant une station au sol virtualisée, un sous-système de communication et du matériel satellite physique appelé flatsat.
Comme une CTF attaque/défense plus traditionnelle, les équipes auront leur propre système vulnérable pour opérer et défendre, tout en attaquant les systèmes identiques des équipes adverses. Un certain nombre de vulnérabilités exploitables existent dans les systèmes et les équipes doivent corriger ou atténuer leurs propres vulnérabilités pour se protéger des attaques d’exploitation, tout en maintenant le système fonctionnant normalement (règle 3.1). »Cela ressemble à un test de pénétration multidimensionnel et simultané de votre propre système et de tous les autres, et tout cela pendant que les organisateurs interrogent régulièrement chaque système d’équipe pour les réponses.
La règle 5.1 couvre l’éligibilité avec une prémisse d’ouverture selon laquelle certains pays seront exclus dès le départ. Ne sont pas non plus éligibles les « Personnes, organisations ou sponsors qui sont nommés dans la liste des ressortissants spécialement désignés du Département du Trésor des États-Unis. »Les entités gouvernementales et les individus (des États-Unis ou de tout autre pays) ne sont pas éligibles, mais les personnes agissant seules en dehors du service gouvernemental ou militaire peuvent être éligibles.
Dans la section 5.4, il y a une liste de comportements disqualifiants, y compris l’utilisation de certains outils de piratage (attaques par déni de service non spécifiques contre d’autres concurrents) et tout manque de transparence dans les divulgations. « Aucune contrainte physique ou intimidation n’est autorisée » et « Tout acte de sabotage, de falsification, d’utilisation abusive, d’attaque ou d’utilisation sans le consentement de la propriété, de l’infrastructure, de l’équipement, du logiciel de l’organisateur de contenuare sont expressément interdits. »
Le potentiel de problèmes pourrait être sérieux, mais Thompson a rassuré le public: « La sécurité et la cyber-résilience de nos systèmes en orbite sont une nécessité absolue alors que nous cherchons à assurer le développement pacifique des biens communs mondiaux de l’espace au cours des prochaines décennies. Cela nécessitait une multitude de spécialités, de sorte que les partenariats sur l’ensemble du spectre de la cybersécurité professionnelle sont essentiels au développement de la prochaine génération de systèmes spatiaux sécurisés. »Les hackers à chapeau blanc font désormais partie de l’équipe du spectre de la cybersécurité professionnelle.
L’ENGAGEMENT FINAL
Les 10 premiers qualifiés de la DEFCON 2021 29 incluent une liste de noms colorés, notamment « OneSmallHackForMan » et « La Pologne peut dans l’espace. »Tous les scores des préliminaires (et quelque chose sur chaque équipe) sont affichés sur www.hackasat.com . Les huit premiers avec deux suppléants participeront maintenant à l’événement final du FCT prévu sur deux jours à compter du 11 décembre 2021, à 13 h HNE. Le compte à rebours en jours, heures, minutes et secondes est désactivé sur la page d’accueil de HAS2.
