Comment adresser les risques posés par Cassian Andor ?

Centralisation, accès non contrôlé, absence de supervision : un cocktail explosif



Ou comment l’Empire a perdu face à ses mauvaises pratiques de cybersécurité et un rebelle nommé Andor

Même dans une galaxie lointaine, les vulnérabilités sont souvent lesmêmes : centralisation excessive des données, contrôles d’accès inexistants,absence de détection des comportements anormaux…
Cet article revient sur les erreurs techniques et organisationnelles qui ont précipité la chute de l’Empire et qui résonnent étrangement avec les défis de la cybersécurité moderne

Quand on parle de cybersécurité, on pense souvent à des hackers avec son hoodie ou son fond d’écran Matrix. Dans l'univers Star Wars (mais pas seulement en réalité…), parfois, il suffit d'un bon déguisement, d'un peu de culot... et d’un Empire qui n’a jamais entendu parler d'authentification multifacteur.

Cassian Andor n'était pas un Jedi ni un seigneur Sith : il était juste suffisamment malin pour profiter d'un système construit comme un énorme SPOF (Point de défaillance unique, en anglais)sur pattes.

Entre IDOR (références directes non sécurisées, en anglais), absence totale de cloisonnement et un centre de données unique en guise de coffre-fort galactique, bienvenue dans la plus grande master-class de mauvaises pratiques cybersécurité de toute une galaxie.

Avec la sortie de la deuxième saison de Star Wars Andor, c’est l’occasion de faire un tour de la cybersécurité dans une galaxie lointaine, très lointaine. Il ne faut pas oublier pas que le pire n’est jamais décevant.

Quelles leçons tirer de l’arrogance et des mauvaises pratiques impériale ?

Avant même Scarif, l’Empire affichait déjà un mépris flagrant pour les fondamentaux de la sécurité des systèmes. À commencer par ses architectures monolithiques, centralisées à outrance, qui font passer une faille pour une invitation à la rébellion.

Prenons l’exemple des prisons de Narkina 5 :

Un système carcéral imposant… mais totalement dépendant de l’électricité. Une panne, et c’est toute la chaîne de contrôle qui s’effondre. Il en résulte une évasion massive, orchestrée à mains nues. Tous s’enfuient, sauf Kino, figure tragique d’un système où même les plus braves restent prisonniers… d’une mauvaise infrastructure.

Cette obsession impériale pour la centralisation à tout prix se répète encore et encore : un point d’accès unique et cœur de données critique.

Plus globalement, c’est l’arrogance technocratique de l’Empire qui ressort : penser qu’une technologie avancée suffit, sans prévoir les failles humaines, techniques ou physiques. Une erreur classique, mais fatale dans toute stratégie de cybersécurité.

Cet article n’est qu’un avant-goût. D'autres épisodes, comme Scarif ou Aldhani, viennent compléter ce tableau, aujourd’hui, d’un Empire technologiquement avancé mais stratégiquement vulnérable. Nous reviendrons dessus dans un prochain article dédié à la cybersécurité au sein de l’empire.

Maintenant, abordons les événements ayant touché les données impériales et plus particulièrement le SPOF de Scarif .Pour ceux qui n’aurait pas encore vu Rogue One, Il s’agit d’une planète hébergeant un centre de recherche militaire impériale. Cette dernière a été choisi pour emplacement, elle est hors de portée du Sénat intergalactique, évitant ainsi tout contrôle et maintenant le secret sur les projets comme Stardust (Etoile de la mort). Stardust est le nom donné au projet de l’étoile de la mort de Palpatine, pour lequel Krennic et Galen Erso (le père de Jyn) ont travaillé.

Ce centre utilise un archivage de données sur bande magnétique (ou équivalent) pour le stockage. Choix logique étant donné la nature des données et le rôle de cette base.

Un cadre idyllique qui l’est un peu moins pour son PRA

Des mécanismes de sécurité en place (bouclier planétaire, garnison de storm troopers et AT-AT), aucuns n’ont pu empêcher la perte complète et totale des données, sans réplications ni de sauvegardes multisites.

À noter que la destruction est causée par l’empire lui-même, avec le Grand Moff Tarkin prenant la décision de détruire le centre de recherche avant toute exfiltration. Cependant, la remédiation est arrivée tardivement, le vol des plans de l’étoile de la mort ayant déjà eu lieu.

L’effet boule de neige d’un accès sans second facteur d’authentification ?

L’empire a privilégié un archivage hors-ligne afin de protéger ses données, mais c’est cette implémentation qui a permis le vol de donnée.

L’empire semble se prémunir contre la force brute, mais pas contre les éléments les plus discrets, comme notre force de rebelles.

On commence déjà avec un contrôle d’accès planétaire, que nos protagonistes ont pu passer facilement avec une navette impériale volée.

Surplace, Cassian Andor et Jyn Erso ont enfilé les tenues d’un officier et d’un agent de piste impérial. Ils ont pu se balader librement. Le seul problème étant le personnel, nombreux sur la base, pour nos rebelles, mais ceci ne sera pas un problème .Pendant que la garnison est attirée à l’extérieur par une diversion, rien ne semble empêcher l’intrusion : aucun contrôle d’accès, aucune authentification.

La conformité ISO n’existe pas dans une galaxie lointaine. Pas besoin de badge, une tenue suffit

Les officiers et techniciens disposent d’un cylindre codé, visible sur les uniformes et est normalement utilisé pour le contrôle d’accès et restreindre un périmètre donné seulement aux personnes autorisées. Mais nos héros n’ont pas eu à les utiliser, en plus de ne pas être dans une zone autorisée. On notera que les terminaux d’accès ne sont pas protégés et sont exploitables par un droïdes, que ce soit des astromechs comme R2D2 ou K-2SO, le fameux droïde impérial reprogrammé.

Pour ce qui de l’accès au coffre-fort et aux bandes d’archives, Une fois à l’intérieur, pas de politique d’accès granulaire, il est possible de lister et de parcourir l’ensemble des informations, sans authentification. Pour la suite, la destruction du panneau de contrôle et le verrouillage subséquent de la porte ont déclenché une alerte, trop tardive vous me direz. Bien que débordé, les officiers impériaux ne semblent pas avoir relevé les signaux associés à l’envoi important de stormtroopers dans cette section de la base comme un danger imminent.

De l’attaque rebelle sur Scarif, on peut tirer les conclusions que la sécurité des données impériale repose tout d’abord sur une sécurité physique avec de nombreuses portes, des stormtroopers et un bouclier planétaire, mais que les processus et la communication ne sont pas adaptés face au risque porté par un attaquant avec un peu de volonté. Que ce soit par un manque d’audit, de restriction d’accès et de l’application du principe de moindre privilège, l’empire devrait reconsidérer son budget cybersécurité et l’architecture de son SI.

En compléments des événements sur Scarif, il semble que les retours d’expérience sur les incidents passés ne soient pas non plus considérés. Lors sur braquage du coffre des crédits impériaux sur Aldhani, le manque de défense en profondeur et de détection avancée sont cinglant et mettent en avant que les capacités de détection et de qualification d’incident restent très vagues pour le SOC impérial. On retrouve les mêmes problèmes sur Scarif, que faire une fois qu’un accès physique est réalisé ?

Il y a bien longtemps, dans une galaxie pas si sécurisée que ça...

Scarif, Aldhani, Eadu... autant de noms qui résonnent dans l’histoire impériale comme des échecs cuisants de sécurité. Entre les accès non protégés, les journaux d’événements ignorés, l’absence de contrôle d’identité, et un SOC visiblement plus préoccupé par les formalités que par la détection d’incidents, on comprend que l’Empire ait fini par se faire souffler ses plans les plus sensibles par une poignée de rebelles suffisamment motivés à faire vaciller tout un système.

L’analyse des attaques rebelles met en lumière des failles systémiques : centralisation extrême des données, cloisonnement mal appliqué, absence de PRA ou de PCA efficaces, et un manque de culture cybersécurité généralisé.

Les décisions se prennent en silo, les signaux faibles sont ignorés, et la réaction n’arrive que quand il est trop tard.

Aujourd’hui(ou il y a très longtemps...), comment les forces impériales pourraient-elles se sécuriser ?

En adoptant quelques principes issus non pas d’une prophétie Jedi, mais des bonnes pratiques cyber :

  • Déployer des architectures résilientes, décentralisées et à haute disponibilité
  • Appliquer strictement le  principe du moindre privilège, même pour les officiers zélés
  • Renforcer les contrôles d’accès (avec MFA obligatoire, même pour Krennic)
  • Tester et mettre à jour régulièrement ses plans de continuité et de reprise d’activité
  • Centraliser intelligemment les journaux, et surtout, évaluer et améliorer en     continu les capacités de détection
  • Former et préparer ses équipes à la gestion de crise, y compris les stormtroopers, au moins ceux qui savent viser

Chez Login Sécurité, nous n'avons pas encore été mandatés par l'Empire, ni par la Rébellion.

Mais nous savons une chose : la Force ne suffit pas face à une vraie menace cyber.

Conseil, GRC, audit, SOC ou réponse à incident, nos équipes sont prêtes à vous accompagner, dans cette galaxie ou une autre.

Vous avez un projet, une urgence, ou vous soupçonnez qu’un droïde fou exploite vos terminaux non protégés ?

📩 Contactez-nous ici !

Olivier Mathieu - Quackb0t
Olivier Mathieu - Quackb0t
|
Consultant Cybersécurité

Cloud Enthusiast & DFIR digger

Que savent les hackers sur votre entreprise ?
Faire le test
LE BLOG

Cybersécurité

Le Traumatisme Vicariant : un fléau silencieux dans les métiers de la cybersécurité

voir l'article ->

Cybersécurité

Le RSSI à temps partagé : l’atout stratégique des entreprises en mouvement

voir l'article ->

Cybersécurité

L'Ingénierie Sociale au service des arnaques financières : Les facteurs sociaux

Les arnaques financières ne reposent pas uniquement sur la technologie, mais sur une fine compréhension de la psychologie humaine. Biais cognitifs, pression sociale, illusion de contrôle… Les cybercriminels manipulent nos décisions bien avant de voler nos données. Dans cet article, découvrez comment ces mécanismes nous piègent — et comment s’en protéger efficacement.

voir l'article ->
Logo Login Sécurité
Logo Login Sécurité
Siège : Saint-Cloud (IDF)
Lille, Lyon, Marseille, Nantes, Rennes
Bulletins d'alertesUrgences incidents
Mentions légalesCGVNous contacter