Compromission de KA-SAT : comprendre une attaque venue du segment sol

    | 8 min de lecture

Dans notre précédent article, nous expliquions que l’espace n’est plus un domaine isolé. En effet, les systèmes spatiaux sont désormais connectés aux réseaux terrestres et cette interconnexion les expose à de nouvelles cybermenaces.

Aujourd’hui, perturber un service spatial ne passe plus forcément par le satellite lui‑même. Une faille au sol, ou chez les utilisateurs, peut suffire à provoquer un impact majeur.

L’attaque contre le réseau KA-SAT de Viasat en 2022 en est un exemple frappant. Dans un contexte international tendu, cette opération a rendu inutilisables 27 000 modems. L’incident a rappelé que nos systèmes spatiaux sont aussi vulnérables et que leur sécurité dépend d’une approche globale, couvrant aussi bien le sol que l’espace.

Attaque de Viasat : l’importance de sécuriser tout le système spatial

1. Le contexte de Viasat

Viasat est un acteur clé des communications par satellite. Depuis 2021, l’entreprise fournit un accès Internet haut débit en Europe grâce au satellite KA‑SAT, lancé en 2011.

En 2022, son réseau jouait un rôle essentiel en Ukraine. Les services de Viasat servaient à :

  • Assurer des communications de continuité pour certains organismes publics
  • Offrir un accès Internet dans les zones rurales
  • Soutenir des infrastructures critiques, dont des systèmes industriels
  • Maintenir des liaisons opérationnelles lorsque les réseaux terrestres étaient perturbés

Dans ce contexte tendu, KA‑SAT représentait une cible stratégique. Le satellite et son réseau soutenaient des usages civils, administratifs, mais aussi militaires. Une attaque pouvait donc avoir un impact immédiat et large.

2. Le déroulement de l’attaque

Le 24 février 2022, quelques heures avant l’offensive russe en Ukraine, le réseau KA‑SAT est visé par une attaque coordonnée en 7 étapes. Elle cible le segment sol et elle impacte à la fois les infrastructures terrestres et les systèmes satellitaires.

Tout commence avec un pic soudain de trafic malveillant. Il provient de modems situés en Ukraine. Ce trafic sature le réseau et empêche les modems légitimes de se connecter. Très vite, un wiper est utilisé pour réinitialiser les terminaux et les rendre inutilisables.

Viasat tente alors d’isoler les premiers équipements compromis mais de nouveaux modems infectés apparaissent. Les attaquants exploitent une faille dans des pares‑feux et grâce à elle, ils exécutent des commandes de gestion légitimes sur un grand nombre de modems résidentiels. Une action massive et coordonnée. Ils écrasent ensuite des données essentielles dans la mémoire flash des modems, les terminaux deviennent ainsi inopérants et ne peuvent plus accéder au réseau. La chute du nombre de modems actifs est rapide : en 45 minutes, des dizaines de milliers de terminaux se déconnectent et ne tentent plus de se reconnecter.

Figure 1 : Etapes de l’attaque sur KA-SAT

  1. Phase de reconnaissance
    Les attaquants commencent par cartographier les services exposés par les infrastructures sol de KA‑SAT. Ils identifient aussi des adresses IP accessibles depuis l’extérieur. Cette analyse leur permet de repérer une passerelle VPN vulnérable. C’est le point d’entrée de la compromission.
  2. Intrusion via une faille VPN
    Les assaillants exploitent la vulnérabilité CVE‑2018‑13379, présente dans des pares‑feux Fortinet. Cette faille, connue depuis 2019, leur ouvre l’accès au réseau interne qui gère le service KA‑SAT
  3. Élévation des privilèges
    Une fois dans le réseau, ils tirent parti de configurations mal protégées. Ils augmentent leurs privilèges et contournent plusieurs mécanismes de sécurité. Cette étape rend l’intrusion difficile à détecter.
  4. Mouvement latéral vers le système de gestion
    Les attaquants se déplacent ensuite dans le réseau. Ils franchissent la DMZ et atteignent le système chargé de piloter les modems des utilisateurs. Ils ont désormais accès aux équipements finaux.
  5. Sélection des cibles
    Ils analysent la structure du réseau et la localisation des modems. Leur objectif : toucher des zones précises en Ukraine et en Europe de l’Est. Cette sélection vise à maximiser l’impact opérationnel.
  6. Détournement des outils légitimes
    Les attaquants utilisent les outils de gestion internes de Viasat. Ils exécutent des scripts et envoient des commandes à grande échelle. Les actions semblent légitimes, ce qui limite les alertes.
  7. Réécriture de la mémoire des modems
    Les commandes injectées modifient des éléments critiques de la mémoire flash des modems. Elles effacent des paramètres réseau, des données d’initialisation ou des informations de connexion. Les modems deviennent inopérants et incapables de se reconnecter.

3. Les conséquences et remédiations

L’attaque débute une heure avant l’invasion russe de l’Ukraine. Son objectif probable : perturber les communications militaires ukrainiennes. Cette analyse est partagée par les États‑Unis, le Royaume‑Uni et le Conseil de l’Union Européenne, qui évoquent une action facilitant l’offensive.

L’attaque contre KA-SAT a eu des conséquences immédiates et étendues :

  • Des dizaines de milliers de modems deviennent inutilisables, en Ukraine mais aussi dans d’autres pays européens.
  • De nombreux services publics et privés sont perturbés.
  • Des infrastructures critiques sont touchées.
  • En Allemagne, 6 000 éoliennes se retrouvent hors ligne.

Réponses et remédiation :

  • Viasat et Skylogic (qui exploite et assure le support des opérations du segment terrestre du réseau KA-SAT pour le compte de Viasat) ont stabilisé le réseau, isolé les équipements compromis et bloqué de nouvelles attaques.
  • Remise en service via remplacement ou réinitialisation des terminaux (près de 30 000 modems expédiés) avec une priorité donnée aux services d’urgence et d’aide humanitaire.

La place de la Cybersécurité : comment HeadMind Partners vous accompagne dans la sécurisation de vos infrastructures spatiales ?

La combinaison des infrastructures au sol, réseaux, opérations OT et équipements critiques rend les systèmes spatiaux complexes. Pour les protéger, HeadMind Partners propose un accompagnement complet et adapté aux enjeux du secteur :

  • Détection des fuites de données
    Nous déployons des solutions avancées pour surveiller vos environnements. Elles détectent toute exfiltration ou tentative de compromission. Vous gardez le contrôle sur vos données sensibles.
  • Mise en place d’un SOC OT dédié
    Nous vous aidons à créer un SOC orienté OT, pensé pour les opérations spatiales. Il supervise en temps réel vos infrastructures critiques et renforce votre capacité de réaction face aux cybermenaces.
  • Gestion des vulnérabilités
    Nous évaluons en continu vos risques, identifions les failles, priorisons les actions et pilotons les plans de remédiation. Votre système reste résilient, même face aux menaces émergentes.

Conclusion

L’attaque contre KA‑SAT l’a montré : un système spatial peut être paralysé sans toucher directement le satellite. En ciblant le segment sol et les modems, l’assaillant a déclenché une perturbation massive. Cette opération rappelle une réalité simple : la cybersécurité spatiale doit protéger toute la chaîne, du sol jusqu’à l’espace.

Depuis cet incident, Viasat et l’industrie ont renforcé les contrôles d’accès, la segmentation et la supervision. Les acteurs du secteur ont compris que la résilience passe par une vision globale et proactive. Les infrastructures spatiales sont désormais au cœur d’enjeux critiques et interconnectés. Elles doivent être protégées comme telles.

Chez HeadMind Partners, nous faisons de la cybersécurité spatiale une priorité. Les systèmes spatiaux s’appuient sur des réseaux terrestres et des infrastructures critiques qui font face à des menaces complexes et évolutives.

Nous aidons les organisations du secteur à renforcer leurs défenses. Cela passe par la détection proactive des fuites de données, la mise en place d’un SOC OT dédié, la gestion continue des vulnérabilités et bien d’autres dispositifs.

Notre objectif est clair : aider nos clients à anticiper les risques, à renforcer leur résilience et à garantir la continuité des services spatiaux dans un contexte géopolitique exigeant.

Annexes

Photo de couverture : Axlsite / Wikimedia Commons sous licence Creative Commons Attribution-Share Alike 3.0 Unported
Fig 1 : Nicolò Boschetti (Cornell University) and Gregory Falco (Cornell University) – 2022
BBC : https://www.bbc.com/news/technology-60796079

Article rédigé par Matthieu COLIN et relu par Audrey FOURNIES