L’hélicoptère de la Nasa posé sur Mars pourrait-il être piraté ? La fondation Apache a affirmé dans un tweet qu’Ingenuity utilise Log4j, la bibliothèque contenant une importante faille de sécurité. Qu’en est-il vraiment ?

Cela vous intéressera aussi

[EN VIDÉO] Ingenuity, plus loin et plus rapide pour son troisième vol Ce dimanche 25 avril 2021, Ingenuity, l’hélicoptère martien de la Nasa a effectué son troisièmnull

Existe-t-il un problème de sécurité à bord d'IngenuityIngenuity, le petit hélicoptèrehélicoptère de la NasaNasa actuellement sur la planète Mars ? C'est la question qui se pose depuis que la révélation d'une information suggérant que l'appareil serait vulnérable à la faille Log4Shell qui secoue le monde informatique depuis une semaine.

En juin dernier, la fondation Apache avait publié un tweet dans lequel elle affirme qu'Ingenuity fonctionne grâce à Log4j d'Apache. Or, c'est justement dans la bibliothèque Log4j que se trouve la faille Log4Shell. Il n'en fallait pas plus pour qu'une coupure de transmission avec l'hélicoptère lors de son 17e vol le 5 décembre dernier lance la spéculation sur une éventuelle attaque.

Le fameux tweet de la fondation Apache qui a lancé les rumeurs sur la vulnérabilité d’Ingenuity. Il a depuis été effacé. © @TheASF
Le fameux tweet de la fondation Apache qui a lancé les rumeurs sur la vulnérabilité d’Ingenuity. Il a depuis été effacé. © @TheASF

Une information démentie par la Nasa

Heureusement pour la Nasa, il n'en est rien. Le site Futurism a reçu un démenti formel de l'agence spatiale. « L'hélicoptère Ingenuity de la Nasa n'exécute pas Apache ni log4j, et n'est pas vulnérable à la faille log4j. La Nasa prend la cybersécurité très au sérieux et, pour cette raison, nous ne discutons pas des détails concernant la cybersécurité des actifs de l'agence » a indiqué un porte-parole. La fondation Apache a depuis reconnu son erreur et supprimé le tweet en question, qui a été archivé par la Wayback Machine.

Toutefois, même la Nasa peut parfois rencontrer des failles de sécurité. En 2018, des pirates ont réussi à dérober 500 mégaoctets de données. Le coupable était alors un Raspberry Pi, un mini-ordinateur qui avait été branché sur le réseau interne de l'agence. L'appareil n'avait pas été détecté à cause de faiblesses dans le système et d'une base de données contenant les informations des appareils du réseau qui n'était pas à jour.