Quand un satellite a un bug, mieux vaut l’apprendre avant qu’il ne parte en orbite
Imaginez… Pendant 3 ans, les plus brillants experts passaient au peigne fin le code qui protège les satellites de la NASA. Rien. Nada. Pas la moindre faille n’a été repérée. Mais il a suffi de 4 petits jours à une intelligence artificielle pour débusquer une vulnérabilité basique, mais potentiellement catastrophique. On vous raconte cette histoire digne d’un thriller spatial : bienvenue dans l’ère où les failles logicielles menacent les étoiles… et où l’IA joue les super-héros.
Cybersécurité spatiale : la faille invisible, repérée par un détective numérique
On dit toujours que l’espace, c’est dangereux. Mais on s’attend plus à des aliens verts qu’à une commande shell sournoise tapie dans une librairie de chiffrement. Pendant plusieurs années, personne ne se doutait que les communications entre la Terre et certains bijoux de la NASA pouvaient être détournées aussi facilement qu’un trousseau de clés oublié. Non, personne… sauf une IA.
Le coupable ? CryptoLib, une bibliothèque open source censée protéger les transmissions entre stations au sol et satellites en orbite. Elle est même chargée de sécuriser le protocole SDLS-EP, utilisé partout : du télescope James Webb aux rovers qui vadrouillent sur Mars. Sauf qu’au cœur même de ce blindage logiciel, une porte dérobée d’école : une faille d’injection de commandes. Un classique du genre, du style de celles qu’on apprend à éviter le premier semestre de licence, mais apparemment, personne n’avait levé le capot depuis des lustres.
L’info presque drôle (si on aime l’humour noir), c’est que cette faiblesse primordiale est passée entre les mailles de dizaines d’audits humains pendant 3 ans. Mais dès qu’AISLE, une startup experte en IA fondée par des cadors de la cybersécu, s’en mêle… bingo ! Le « cyber reasoner » mis au point par AISLE a passé CryptoLib à la moulinette. Résultat : faille critique repérée en seulement quatre jours. Les audits faits à la main peuvent aller se rafraîchir sur Mars…
Impressionnant mais… pas de panique interstellaire
Alors, on rassure tout de suite ceux qui craignent de se réveiller avec un satellite dans leur jardin. Pour exploiter cette vulnérabilité, il aurait fallu accéder physiquement au serveur qui pilote le satellite. Difficile, même pour un hacker motivé (et équipé d’une combinaison spatiale). Donc non, ce n’est pas le moment de ressortir votre papier d’alu.
N’empêche : si ce bug avait été exploité, c’est toute la flotte spatiale ultra-précieuse de la NASA qui aurait risqué un crash, une reprogrammation sauvage, voire un remake de « Gravity » en moins hollywoodien. Imaginez un pirate capable de détourner un rover martien ou dérégler la trajectoire du télescope James Webb, ni vu ni connu. Frissons…
2025, l’année noire de la cybersécurité spatiale ?
Ce n’est pas la seule fois que l’écosystème spatial a vu rouge ces derniers temps. En août dernier, lors des plus grands rassemblements de hackers de la planète (Black Hat et DEF CON à Las Vegas), deux chercheurs européens ont présenté le résultat de leurs investigations : 37 vulnérabilités détectées dans les logiciels spatiaux, rien que ça. Entre autres, on compte :
- 4 failles critiques dans le Core Flight System de la NASA, utilisé sur le James Webb et des missions lunaires (dont deux achetables au rayon plantage logiciel, une jolie path traversal, et une RCE sympathique)
- 5 CVE majeures dans Yamcs, le système utilisé par Airbus et autres grands noms
- 7 CVE dans OpenC3 Cosmos, qui pilote certaines stations au sol
Lors d’une démo, un hacker a même pu activer les propulseurs d’un satellite à distance et modifier son orbite sans éveiller les soupçons du centre de contrôle. C’est le coup de panique assuré chez les ingénieurs, mais aussi la preuve qu’il est grand temps de s’attaquer sérieusement à la cybersécurité spatiale.
L’open source, ce couteau suisse à double tranchant
Chacun le sait : l’open source, c’est la transparence, la rapidité d’innovation, la mutualisation des ressources. Mais pour le spatial, qui repose désormais sur une ribambelle de composants open source, cela veut aussi dire héritage de vulnérabilités plus ou moins bien cachées, exploitables à distance ou localement. CryptoLib, cFS, Yamcs, OpenC3… Les failles sont nombreuses, parfois bien enfouies, et les équipes n’ont simplement ni le temps ni les moyens de vérifier chaque ligne dans un code qui s’accroît sans cesse.
IA, l’arme fatale des défenseurs de la galaxie ?
Ce qui change la donne : l’IA ne se lasse jamais, ne manque pas de sommeil et scanne chaque recoin d’un code qui aurait fait fuir des légions d’auditeurs humains. C’est toute la force du système mis au point par AISLE : capable de détecter en continu des patterns suspects sur des bases de code complètes, d’alerter en temps réel, et d’accompagner l’évolution du logiciel au fil des versions. Pour les acteurs du spatial, c’est le filet de sécurité inespéré, quasi indolore pour le workflow.
D’ailleurs, la NASA ne s’en cache plus : une mise à jour majeure du Core Flight System arrive bientôt, intégrant de la sécurité renforcée, une pincée d’autonomie améliorée, et un zeste d’IA pour surveiller le code… et éviter de nouveaux facepalms galactiques.
Vers un futur plus serein pour nos satellites
Désormais, l’alerte est lancée. On s’aperçoit que si coder pour l’espace reste un exploit, la sécurisation est un défi à part entière, et que l’IA fournit déjà des résultats bluffants là où l’humain décroche. Lettre ouverte aux agences spatiales, startups du new space et bâtisseurs de satellites : pensez-auditer, pensez-automatiser, pensez-IA.
Si un script kiddy ne vous fera pas tomber un satellite sur la tête demain, la diversification des attaques, l’ouverture du spatial à de nouveaux acteurs et la complexité grandissante des codes nécessitent bien plus que quelques audits annuels sur un coin de bureau.
La cyberguerre de demain aura-t-elle pour première ligne Google Colab, ChatGPT et cie ? Peut-être pas, mais une chose est sûre : la mission cruciale de sécurité informatique ne sera plus jamais la même.
Pour les passionnés de cybersécurité, d’IA et d’exploration spatiale, on entre dans une ère fascinante, faite de challenges, de stress… et d’un maximum de cafés serrés pour les ingénieurs en astrolab.
Encore une terre sauvée grâce à l’IA. Pour aujourd’hui, en tout cas.
Pour aller plus loin :
- AISLE, la startup à l’origine de la découverte
- Détail sur les vulnérabilités de la NASA
- Tous les détails techniques sur le SDLS-EP
- Mise à jour à venir du cFS
Si cet article vous a intéressé, ne manquez pas nos autres analyses sur la cybersécurité, l’IA et les coulisses de la tech spatiale. Restez connectés, et adoptez un firewall même sur la lune ! 🚀