Alma est un observatoire astronomique basé dans le plateau de Chajnantor à 5000 mètres d’altitude. En fin d’année 2022, elle a subit une cyberattaque de grande ampleur, bloquant les systèmes pendant plus de 50 jours ! Il est temps de dresser un bilan de l’attaque.
C’est un coup difficile pour la communauté scientifique. Alma est le plus grand et le plus ambitieux observatoire astronomique du monde. Il a été victime d’une cyberattaque qui l’a bloqué pendant 50 jours. Cet évènement met en lumière la complexité du traitement des crises cybers dans le milieu scientifique.
Qu’est-ce que l’observatoire Alma ?
C’est un observatoire pour observer l’univers à des fins scientifiques. Il regroupe 66 antennes à plus de 5100 mètres d’altitude. Les conditions extrêmes du milieu et les appareils très sophistiqués permettent d’observer des phénomènes dans l’univers qui ne sont pas visibles à l’œil nue.
C’est aussi un programme international regroupant depuis 2011 :
- La US National Science Fondation (États-Unis)
- Conseil national de Recherche du Canada
- L’European Southern Observatory (Europe)
- National Institutes of Natural Sciences (Japon)
- L’Academia Sinica (Taïwan)
Le Chili, pays hébergeur de l’observatoire, bénéficie de l’observatoire pour ces chercheurs et son économie avec une grande partie du personnel d’origine chilienne.
Pourtant, malgré l’ambition du projet et son ancienneté, celle-ci a été stoppée pendant 50 jours en fin de l’année 2022. C’est suite aux conséquences d’une cyberattaque du type rançongiciel. Cette attaque a forcé l’arrêt de l’observatoire. Pendant ce temps, les pirates ont réclamé une rançon.
Cet évènement révèle la difficulté de gestion des crises cyber dans les milieux scientifiques. Puisque l’observatoire est une machine complexe.
L’origine de l’attaque
La détection de l’attaque a été précoce. La première alerte a été donnée le 29 octobre 2022. Grâce à une bonne réactivité des équipes, les données scientifiques ont tout de suite été sécurisées. Ces données sont des milliers, voir des millions de gigaoctets de données scientifiques. Certaines de ces données, parfois encore non traité, peuvent donner lieu à de grandes découvertes.
Suite à cela, l’équipe a cherché à comprendre ce qui s’est passé et vérifié quels sont les systèmes qui ont été touchés.
Les pirates à l’origine de l’attaque n’ont pas pu être identifiés par les autorités chiliennes. Il a été déterminé qu’ils ont utilisé le rançongiciel Hive.
Une attaque par rançongiciel a pour but de propager un logiciel qui bloque l’ensemble du système informatique. Puis demander une rançon contre le déblocage du système.
Une gestion de crise complexe
Très vite, la cellule de gestion de crise agit. Ils déterminent que la sauvegarde des données a été faite sans perte. Malheureusement plusieurs systèmes ont déjà été endommagés.
Pour éviter la paralysie totale de l’observatoire, il a fallu isoler tous les systèmes et les vérifier. Si un système est touché, il faut effacer tout le système et le reconstruire. Cette vérification est allée jusqu’aux ordinateurs personnels !
La gestion de crise est devenue très complexe lorsqu’il a fallu vérifier le supercalculateur. L’observatoire est équipé d’un puissant supercalculateur. C’est un immense ordinateur qui fait fonctionner 134 millions de processeurs en même temps ! À titre de comparaison, un ordinateur de bureau est en général équipé d’un seul processeur.
Autre point qui rend la gestion de crise complexe, c’est le système d’exploitation utilisé par le supercalculateur et la plupart des appareils de l’observatoire. Ils fonctionnent sous le système Linux. La plupart des attaques se faisant sur Windows, le système Linux est moins optimisé face aux cyberattaques.
Enfin, la lenteur de mise en état vient aussi d’une conséquence de la politique vis-à-vis des rançongiciel. Il ne faut jamais payer les pirates qui réclament une rançon. Ça ne donne pas une garantie de récupérer les systèmes et ça incite les pirates à continuer. L’Agence de cybersécurité américaine a rappelé les risques de ce type d’attaque le 17 novembre 2022.
Conclusion
Un des enjeux de la cybersécurité est la remise en marche des systèmes informatiques le plus rapidement que possible après une attaque. Néanmoins, dans certains domaines très complexes comme la recherche scientifique ou les supercalculateurs, la remise en état peut s’avérer complexe. Même en ce début d’année 2023, plusieurs systèmes d’Alma ne sont pas encore opérationnels.
Malgré les compétences de l’équipe de l’observatoire d’Alma, une cyberattaque peut avoir un impact sur le moyen terme. Ici, 50 jours d’observations perdues, c’est une continuité dans les recherches qui est perdue. Ce qui va impacter les recherches scientifiques dans le monde entier.
Il est difficile de trouver ce qui aurait pu améliorer la gestion de crise. C’est à la fois un sprint est un marathon. Un sprint car il faut identifier l’attaque et remettre le système en état de marche. Un marathon car il faut tout vérifier sur le long terme, rester vigilant et capitaliser sur l’expérience acquise.
Beaucoup de personnes pensent que pour se prémunir d’une cyberattaque, il suffit d’avoir une sauvegarde des données. Or, le blocage des systèmes nécessaires au fonctionnement de l’activité peut avoir des conséquences tout aussi importantes.
Sources :
En savoir plus sur la cyberattaque de l’observatoire Alma :
En savoir plus sur l’observatoire Alma :
- https://www.almaobservatory.org/es/
- Ciel et espace, n°587, février-mars 2023, p. 16
En savoir plus sur le rançongiciel Hive :