Stefano Zatti (Agence Spatiale Européenne) "Toutes nos données piratées ont été modifiées"

Serveurs déconnectés, mots de passe changés, communication sur la fuite de données : l'agence spatiale européenne détaille l'attaque dont elle a été victime, et toutes ses conséquences.

JDNSolutions. L'agence spatiale européenne, l'ESA (European Space Agency) a été victime d'une attaque informatique et d'une fuite de données récemment. Que s'est-il passé exactement ?  

Stefano Zatti (RSSI de l'ESA). L'ESA a été informée le 18 avril qu'une personne se faisant appeler TinKode, avait publié un article affirmant avoir piraté le site www.esa.int. et avait divulgué un certain nombre d'informations résultantes de son intrusion.

L'équipe de l'ESA dédiée à la sécurité a mené une enquête pour constater que les dégâts avaient été limités à la perte d'un certain nombre de noms et de mots de passe d'utilisateurs FTP. Les serveurs FTP visés étaient en accès libre et pouvaient fournir des données au monde entier.

Des noms et des mots de passe d'administrateurs Web, ainsi qu'une liste d'adresses email et leur mot de passe, d'utilisateurs internes comme externes à l'ESA, ont également été compromis et divulgués. Le portail www.esa.int n'a pas été affecté.

Les mots de passe dérobés étaient sur des serveurs externes. Les utilisateurs s'enregistraient eux mêmes afin d'obtenir des données de l'ESA d'intérêt public et par nature publiables. C'est donc eux qui choisissaient leur mot de passe, afin d'obtenir, et protéger leur accès. Ces mots de passe n'étaient pas soumis à la politique interne stricte qu'applique l'ESA en la matière. Le réseau interne de l'ESA n'a pas été affecté, et aucune information confidentielle sensible n'a été divulguée.

Comment avez-vous réagi : avez-vous changé vos politiques de sécurité ? Comment et pourquoi avez-vous communiqué sur cette fuite de données ?

Tous les serveurs ont été déconnectés. Toutes les données divulguées ont été modifiées, conformément aux directives établies.

Notre réaction en interne a été de nous assurer que la portée de l'incident restait limitée, et que les faiblesses constatées allait immédiatement être gommées. La politique de sécurité n'a pas dû être modifiée, mais certaines failles dans leur application ont du être rapidement corrigées.

Quant à la communication que nous avons faite sur cette fuite de données, l'ESA est un établissement public, et nous avons un devoir de transparence vis a vis de nos actionnaires, les citoyens européens.

Avez-vous déployé une solution pour prévenir les fuites de données ?

Toutes les informations de l'ESA disponibles sur des serveurs accessibles depuis l'extérieur sont en fait des copies de données protégées et régulièrement sauvegardées en interne. C'est la mission de l'ESA de fournir des informations de qualité et la politique d'accès a toujours été volontairement libérale.

Cependant, l'objectif principal de notre politique de sécurité est d'assurer l'intégrité et la disponibilité des données. Il est donc dans notre intérêt de savoir qui consulte les données et à quelles fins. Cette exigence de traçabilité est la raison pour laquelle nous demandons aux  utilisateurs de s'inscrire.

Nous avons également des données sensibles à protéger, par exemple des informations financières sur des industries européennes, des données personnelles ou contractuelles, ou encore des informations sur nos missions. Toutes ces informations sont en outre évidemment bien protégées en termes de confidentialité.

"La sécurité est toujours considérée comme excessive jusqu'à ce qu'elle devienne insuffisante"

Constatez-vous souvent des traces d'attaques en provenance de Chine dans vos journaux d'activité ?

Les attaques peuvent venir de partout dans le monde, comme nous l'avons vu avec cette intrusion, qui avait pour origine un pays européen. Cependant, nous ne croyons pas que l'ESA constitue une cible privilégiée pour le piratage organisé.

L'usage d'Internet des employés de l'ESA a-t-il des restrictions ?

L'accès à Internet est considéré comme un outil essentiel pour la productivité du personnel, il est donc accessible depuis tous ordinateurs de l'entreprise. Il y a cependant un filtre web pour certaines catégories de sites pouvant être porteurs de menaces pour l'ESA. Cette liste noire a été au préalable soumise à l'approbation des représentants du personnel.

Quelles sont vos politiques de sécurité sur les smartphones ? 

L'ESA fournit des Blackberry et ses services associés à certains de ses employés afin notamment de leur permettre d'accéder à leurs e-mails lorsqu'ils sont en déplacement ou en mission. Il arrive également à l'ESA d'accueillir d'autres terminaux appartenant au personnel.

La DSI évolue sur ces questions et ces services, et s'ouvre à de nouveaux outils, l'iPad en fait partie. Tous ces outils sont sécurisés en fournissant une connexion chiffrée de bout en bout.

En tant que RSSI, le Cloud Computing et notamment sa déclinaison publique, vous fait-il peur ?

Le Cloud Computing est en fait l'une des plus belles opportunités pour l'ESA en raison de l'importance qu'accorde l'agence à fournir un grand nombre d'informations utiles au plus grand nombre. Il faut savoir que les précieuses données de l'ESA enrichissent aujourd'hui des services aussi populaires que Google Earth ou Google Mars.

De plus en plus de projets fondés sur le Cloud Computing sont actuellement en cours, à l'ESA comme ailleurs. La politique de l'ESA exige toutefois que l'emplacement physique de ses données soit sur le territoire de l'un de nos Etats membres. C'est écrit dans sa convention fondatrice.

La sécurité est-elle toujours une question d'argent ?
 

La sécurité est toujours considérée comme excessive jusqu'à ce qu'elle devienne insuffisante. Notre dernier incident le montre. En général, plus les RSSI veulent que la sécurité soit transparente pour l'utilisateur final, plus ils auront à investir. Or, la sensibilisation des utilisateurs et leur collaboration sont essentielles pour l'efficacité des mesures de sécurité.

Notre philosophie de base à l'ESA est d'évaluer les risques de systèmes et de mission spécifiques, et de mettre au point les mesures les plus adaptées, et enfin d'accepter les risques résiduels. 

Il n'y a pas de solution miracle unique pour tous les problèmes, mais uniquement des mesures spécifiques et imparfaites.

Stefano Zatti est RSSI de l'ESA (European Space Agency) soit l'agence spatiale européenne Il est également maître de conférences sur "la politique de sécurité des entreprises" à l'Université de Rome "La Sapienza". Il était précédemment chef de la division ingéniérie IT (1993 à 2006) et chercheur chez IBM de 1985 à 1993