Personne ne s’en doutait, mais durant 3 ans, les communications entre la Terre et les sondes de la NASA étaient totalement vulnérables au piratage du moindre script kiddy ! Et personne n’était au courant évidemment, et aucun des multiples audits de code qui se sont succédé depuis 2022 n’avait mis à jour ce problème jusqu’à ce qu’une IA s’en mêle !

La faille découverte au bout de 4 jours d’analyse, se trouvait dans CryptoLib , une bibliothèque de chiffrement open source utilisée pour sécuriser les échanges entre les stations au sol et les satellites en orbite. Cette bibliothèque implémente le protocole SDLS-EP (Space Data Link Security Protocol - Extended Procedures) de la norme issue du CCSDS , qui est utilisé un peu partout dans le spatial, y compris pour des missions comme les rovers martiens ou le télescope James Webb.

Le souci donc c’est que ce code contenait une vulnérabilité d’injection de commande. En gros, des données non validées pouvaient être interpolées directement dans une commande shell et exécutées via system() sans aucune vérification. C’est le genre de faille basique qu’on apprend à éviter en première année de développement, sauf que là elle était planquée dans un code quand même bien critique…

C’est la startup AISLE , fondée par des anciens d’Anthropic, Avast et Rapid7, qui a été mandatée pour auditer le code et c’est comme ça que leur système de “cyber reasoning” basé sur l’IA s’est retrouvé à scanner la base de code. Résultat, une jolie faille débusquée par IA 3 ans après des dizaines d’audits et d’analyses humaines.

Bon, avant de paniquer sur une éventuelle chute de satellite en plein sur la tête de votre belle-mère, faut quand même nuancer un peu la chose… Pour exploiter cette faille, un attaquant aurait d’abord eu besoin d’un accès local au système, ce qui réduit significativement la surface d’attaque selon les chercheurs . Donc oui, j’ai abusé en intro avec mon histoire de script kiddy ^^ chè ! Mais quand même, on parle de satellites et de sondes spatiales qui valent des milliards de dollars donc si elle avait été exploitée, ça aurait fait mal à beaucoup de monde.

Et ce n’est pas la seule mauvaise nouvelle pour la sécurité spatiale cette année puisqu’en août dernier, 2 chercheurs allemands de VisionSpace Technologies, Milenko Starcik et Andrzej Olchawa, ont présenté, lors des confs Black Hat USA et DEF CON à Las Vegas, pas moins de 37 vulnérabilités découvertes dans l’écosystème spatial . Sans oublier Leon Juranic de ThreatLeap qui a trouvé diverses failles plus tôt dans l’année.

Le Core Flight System (cFS) de la NASA, ce framework open source déployé sur des missions comme le James Webb ou le lander lunaire Odysseus d’Intuitive Machines, contenait également 4 failles critiques. Deux bugs de déni de service, une Path Traversal, et une vulnérabilité d’exécution de code à distance (RCE). Milenko Starcik a déclaré avoir trouvé des vulnérabilités permettant par exemple de crasher tout le logiciel de bord avec un simple message distant non authentifié .

Lors d’une démo, ils ont montré qu’ils pouvaient envoyer une commande à un satellite pour activer ses propulseurs et modifier son orbite, sans que le changement de trajectoire apparaisse immédiatement sur l’écran du contrôleur au sol. Imaginez le bordel si quelqu’un faisait ça pour de vrai !!

CryptoLib elle-même était criblée de failles : 4 dans la version utilisée par la NASA, 7 dans le package standard dont 2 critiques. Et le système de contrôle de mission Yamcs développé par la société européenne Space Applications Services et utilisé notamment par Airbus présentait aussi 5 CVE permettant une prise de contrôle totale. Sans oublier OpenC3 Cosmos, un autre système utilisé pour les stations au sol, qui comptait à lui seul, 7 CVE incluant de l’exécution de code à distance.

Heureusement les amis, toutes ces horribles vulnérabilités ont été corrigées et la NASA prépare même une mise à jour majeure du cFS pour bientôt avec de meilleures fonctionnalités de sécurité, le support de l’IA et des capacités d’autonomie améliorées.

AISLE affirme que leur outil peut examiner systématiquement des bases de code entières , signaler des patterns suspects et fonctionner en continu à mesure que le code évolue, bref, pour du code critique comme celui des systèmes spatiaux, c’est le top !

Encore une victoire de l’IA ^^

Source

La dématérialisation impose une sécurité documentaire renforcée. La GED devient un outil stratégique pour protéger les données sensibles.

Les prestations informatiques B2B allient innovation, sécurité et stratégie. Externaliser ses services IT devient un levier de compétitivité durable.

Microsoft corrige 63 failles dont une exploitée activement dans Windows, incluant une vulnérabilité critique du noyau.

Des centaines d’applications Android exploitent le NFC pour voler des données bancaires, selon Zimperium, marquant une hausse inquiétante de la fraude sans contact.

Selon Hiscox, 41 % des rançons payées pour des attaques de ransomware échouent à restaurer les systèmes.

Le CERT-In propulse l’Inde comme acteur clé de la cybersécurité mondiale grâce à l’innovation, l’IA et une coopération internationale renforcée. Faut-il s'en inquiéter ?

Edge intègre un détecteur de scareware basé sur l’IA locale, renforçant SmartScreen pour bloquer les arnaques en ligne en temps réel.

CISA alerte sur une menace étatique majeure après le vol du code source de F5 et ordonne des mises à jour urgentes sur tous les réseaux fédéraux.

Un acteur étatique a infiltré F5, volant le code source et des failles BIG-IP, exposant un risque majeur de chaîne d’approvisionnement.

Deux failles 7-Zip (CVE-2025-11001/11002) permettent l’évasion de répertoire via symlinks. Mettez à jour vers la build 25.00.

Attaques via Drift-Salesforce : fuites massives de données et procès en Californie exposent les failles de la cybersécurité en chaîne d’approvisionnement.

Google Drive déploie une IA anti-ransomware : une nouvelle couche de sécurité entre antivirus et restauration, intégrée à Workspace.

Co-op a perdu 206 M£ après une cyberattaque en avril, touchant ses ventes alimentaires et exposant 6,5 millions de membres.

YesWeHack devient autorité CVE : un accélérateur de remédiation, de traçabilité et de gouvernance des vulnérabilités.

Deux sénateurs accusent Tulsi Gabbard de restreindre le renseignement électoral face aux menaces d’influence étrangère.

Adobe corrige la faille critique SessionReaper menaçant Adobe Commerce et Magento. Patch urgent requis malgré les règles WAF.

La Chine impose dès novembre 2025 le signalement des cyberattaques graves en une heure, avec sanctions financières lourdes pour les opérateurs.

Apple corrige plus de 100 failles dans iOS, iPadOS et macOS sans détail de sévérité ni signe d’exploitation active.

Une attaque sur le portail cloud de SonicWall a exposé des configurations de pare-feu, posant la question de la confiance envers les fournisseurs cybersécurité.