Ce soir, 19 novembre 2019 à la Chambre de Commerce et d’Industriel de Morlaix (Salle Yeun Elez), le Campuse Mondial de la Mer organise une conférence et table ronde “Vous avez dit marétique ?” à partir de 18h.
Au programme, des échanges sur l’application au domaine maritime des outils et services numériques, avec le témoignage du lauréat “Pays de Morlaix” de l’Océan Hackathon 2019, des interventions de la Brittany Ferries et de la station biologique de Roscoff. Vous retrouverez notamment l’étude du Conseil économique, social et environnemental régional (CESER) sur le sujet de la marétique ici.
Renseignements et inscriptions : conseil.developpement@paysdemorlaix.com 02 98 62 39 57
Olivier Lasmosles, Professeur associé de droit maritime à l’École de Management de Normandie et Tiffany Planchenault, gestionnaire de sinistres et de production chez SEASECURE ont publié ce jour cette étude chez Lamy/Wolters Kluwer.
Dans un article publié hier, la société Pen Test Partners, connue pour ses articles de blog sur la cybersécurité maritime, a publié un nouvel article un peu anxiogène sur le sujet.
Bon, il parait qu’il ne faut plus tenir de discours anxiogène, donc on va (essayer) de l’analyser sereinement.
La société, présente au Royaume-Uni et aux Etats-Unis, mène notamment des tests d’intrusions à la demande de ses clients sur différents types de navires. Dans leur article, ils précisent que, à chaque fois, ils parviennent à découvrir des systèmes d’informations que peu – voire aucun membre d’équipage – ne connait, ou qu’ils n’en connaissent pas l’utilité. Même si cela peu surprendre. Pourtant, il y peut y avoir des explications (que l’article ne souligne pas, préférant – un peu trop à mon goût – le buzz). Je vous donne quelques possibilités d’explication :
Un navire, c’est un équipage, mais qui n’est pas nécessairement constitué de manière permanente : il peut évoluer au fur et à mesure des besoins et constituer un véritable patchwork. L’article ne le précise pas. Pour avoir eu l’occasion de travailler sur les sujets cyber sur quelques navires cyber, je peux vous au contraire, que, à chaque fois, chez les armateurs rencontrés, l’équipage était parfaitement informé du rôle des différentes machines présentes en passerelle et ailleurs.
Un armateur n’est ni le concepteur, ni l’intégrateur d’un navire : on lui livre un navire répondant à ses critères. Il n’a donc pas nécessairement une connaissance intrinsèque du navire (câblage, fonctionnement intime des systèmes d’information, etc…). Cela peut surprendre, mais ne nous trompons pas : c’est aussi le cas dans de nombreux autres secteurs (quelle entreprise – non informatique – connait parfaitement le câblage de tous ses bâtiments ?
Les maintenanciers déposent effectivement régulièrement des équipements à bord des navires pour réaliser des opérations de maintenance préventive ou corrective, notamment pour comprendre l’usure ou les dysfonctionnements d’une installation. Rien de surprenant, le maintenancier ne pas pas maintenir à bord du navire du personnel de maintenance. D’où Teamviewer, pour disposer d’un accès à distance à la machine en question.
Alors suis-je surpris/choqué ? Non. La vulnérabilité, dans ce sujet, est surtout le maintenancier, qui n’a, on est d’accord, pas pris les mesures de sécurité qui s’imposent sur les opérations de maintenance à distance. Donc là où l’article considère que ce type de découverte dans le monde maritime, c’est ” business as usual”, d’abord c’est un peu exagéré, et deux, c’est méconnaître aussi les raisons intrinsèques du pourquoi : on traite encore une fois les conséquences et non les causes : le problème reviendra donc.
Mais continuons sur l’article.
Côté armateur à terre, l’article souligne que personne n’a connaissance de l’existence de cette machine. Bon, surprenant ? Non. Suivant la taille du navire, l’armateur ne dispose bien souvent d’aucun expert en systèmes d’information, le recours à la sous-traitance étant particulièrement important.
Installé par un tiers ? Oui, on en a parlé au-dessus : pas de surprise. Pas d’étiquetage, OK, pas complètement surprenant car il s’agit peut-être d’un poste temporaire (l’article ne le dit pas). En revanche, effectivement, si sa vocation est de rester en permanence à bord du navire, c’est moins légitime. Mais si les contrats fixés par l’armateur ont “laissé la main” au maintenancier, ce n’est pas surprenant.
Autre défaut, qui a contribué à l’oubli de la machine en passerelle, le poste informatique en question ne disposait pas d’un mode “nuit”. Or, en passerelle, afin de permettre aux équipes de quart de mieux voir ce qui se passe à l’extérieur la nuit, les équipements disposent de fonctions permettant de réduire la luminosité des écrans. L’équipage a donc “couvert” l’écran pour éviter toute perturbation lumineuse.
Deux câbles RJ-45 sortent du PC en question. Les pentesteurs décident de le déconnecter (après une analyse de risques) et l’utiliser un dispositif TAP (Test Access Port) pour récupérer le trafic circulant sur le réseau de manière sûre. Ils identifient la diffusion de trafic de type NMEA0183 en UDP sur ce réseau. D’après l’entreprise, c’est un cas assez classique sur les réseaux industriels. Là, je suis plus ou moins d’accord : sur des navires récents ou de taille moyenne, pourquoi pas, sur des navires anciens ou soumis à des règles particulières de navigation, c’est moins sûr. Ce qui est possible, c’est que certains éléments figurant dans la trame NMEA étaient nécessaires à l’équipement ou à l’installation distante (par exemple : la vitesse ou le cap), ou que les ordres entre les équipements en passerelle et les installations distantes se font en NMEA (par exemple : les ordres du pilote automatique).
L’en-tête des trames NMEA indiquait “$IN”, généralement utilisé par les instruments de navigation en passerelle. Après vérification, l’entreprise a identifié que l’un des quatre systèmes ECDIS en passerelle émettait la même information sur un port série sur lequel juste le fil TX (émission) ếtait câblé.
Connecté à la “boîte mystère” était connecté un convertisseur série Moxa, comme celui-ci, non étiqueté, et un câble blindé en sortait. Ce type de câble est très difficile à suivre dans un navire pour en déterminer la provenance/destination. Après une analyse de risques, l’équipe décide d’écouter ce qui transite sur ce câble et y détecte du trafic Modbus, avec un équipement “maître” lisant des registres d’un équipement en mode “esclave”. La lecture de ces valeurs montre une valeur de 169, le navire faisant route à 16,9 nœuds, il y a des chances que les deux valeurs soient liées… il pourrait donc s’agir d’informations échangées entre la passerelle et, par exemple, la machine.
Après un retour à quai, l’équipe investigue la machine en question, qui fonctionne sous Windows et joue le rôle de maître Modbus et interroge régulièrement un esclave pour obtenir des informations. La difficulté d’une connexion Modbus est qu’elle nécessite l’émission et la réception d’information sur la connexion Modbus : il n’est pas possible de déconnecter le câble d’émission, par exemple : il est donc vraisemblable que, depuis la passerelle, la machine sous Windows puisse potentiellement écrire des registres en utilisant ce protocole. Lors des essais réalisés par l’équipe, une action d’écriture/lecture depuis le poste en passerelle confirme la chose. En parallèle, l’équipe cherche l’origine de la connexion et la retrouve, 11 ponts plus bas, sur une interface série donnant sur un automate, non documenté, et ne disposant pas d’adresse IP mais d’autres connexions, potentiellement vers d’autres automates de la machine. La machine Windows, elle, disposait the Team Viewer et n’était pas à jour.
Après enquête, il apparaît que le contrat avec le sous-traitant avait été arrêté il y a plusieurs années. Il s’agissait d’un système (c’est très à la mode d’ailleurs, vous savez, faire des “data lakes” partout) chargé de récupérer des informations de conduite de la machine et d’ailleurs (ECDIS…) pour déterminer si les performances du navire étaient “économiques” et efficaces et tenter de les optimiser.
Cela m’a toujours étonné, mais finalement assez peu de personnes connaissent bien le domaine des câbles sous-marins. Je ne parle pas seulement en termes de technologie, mais il est assez surprenant de constater que certains ignorent même jusqu’à leur existence. Il faut dire que, tapis, dans les profondeurs des océans, il est tentant de les oublier. Pourtant, ils permettent au quotidien le transit de 98% des communications téléphoniques et des transferts de données intercontinentaux. Sans eux, notre quotidien et notre économie seraient profondément bouleversés.
km
(Rapide) historique
Je n’aborderai pas le cas des câbles sous-marins servant principalement au transport de l’énergie électrique pour se concentrer sur ceux dédiés aux télécommunications. Le câble n’est pas une invention récente, puisque les premiers essais de transmissions télégraphique via câble sous-marin datent du milieu du XIXè siècle, avant une première exploitation commerciale de transmission d’ordre boursiers (déjà) entre la France et l’Angleterre. Le câble est cependant un équipement fragile à l’époque : sensible aux tremblements de terre, à de fortes pressions, au marées, et aux fonds parfois rugueux, ils n’ont qu’une espérance de vie limitée.
Il faut attendre la fin du XIXè siècle, et notamment la création de la Compagnie Française des Câbles Télégraphiques, pour que le premier câble longue distance (surnommé le “Direct” !) permette les communications sans relai entre la France (la station de Brest Déolen) et les États-Unis. Le développement des câbles se poursuit alors rapidement, début XXè, avec le déploiement de câbles entre l’Europe et l’Afrique, mais aussi à travers l’océan Pacifique. Les câbles, sur lesquels on exploite surtout la télégraphie, passent progressivement à l’utilisation de codes plus performants et adaptés, comme le code Baudot.
L’amélioration des technologies, comme l’emploi du câble coaxial et des répéteurs permettent alors d’envisager des télécommunications sur des distances beaucoup plus importantes, ainsi que l’acheminement des communications téléphoniques. Dans les années 1990, la fibre optique devient la technologie de référence : offrant des possibilités de multiplexage très avantageuses, elle décuple le nombre de circuits téléphoniques disponibles sur les câbles. Le cap symbolique du Gbit/s est franchi.
Le câble Sea-Me-We 3 (South-East Asia – Middle East – Western Europe) est mis en service le 23 août 1999. Câble à technologie optique, il relie l’Europe à l’océan Indien, le Japon et l’Australie. Long de 40 000 km, il reste aujourd’hui le plus long câble sous-marin en service, tout en restant compétitif (130 Gbit/s par paire de fibres optiques).
Mais qu’est-ce qu’un câble ?
Un câble sous-marin moderne est avant tout un support physique (vous vous rappelez, la fameuse couche 1 du modèle OSI). En l’occurrence, il permet de transmettre de la lumière (pour être plus précis, des longueurs d’ondes, donc des couleurs, différentes) à grande distance. On utilise des techniques de multiplexage en longueur d’onde (WDM, Wavelength Division Multiplexing) ou plus récemment SDM pour améliorer ses capacités en termes de débit.
Mais s’intéresser aux câble seuls n’est pas suffisant : il faut voir le système dans son ensemble, à savoir :
le concepteur du câble physique (en France, on peut citer Nexans)
les propriétaires des câbles (en France, Orange Marine)
les câbleurs (en France, Alcatel Submarine Networks, Orange Marine)
les navires câbliers , très reconnaissables (pour Orange Marine, citons le Pierre de Fermat, le René Descartes, le Léon Thévenin, le Raymond Croze) et pour Alcatel Submarine Networks : l’Île d’Aix, l’Île de Batz, l’Île de Sein, l’Île de Bréhat)
les sites d’atterrissage : en France, citons Lille (France-UK5), Dieppe (France-UK3), Cayeux (Circe South), Saint-Valéry-en-Caux (TAT 14, Cross Channel), Surville (Ingrid), Plérin (Flag Atlantic 1), Lannion (Apollo, HUGO), Penmarch (ACE, Sea-Me-We3), St Hilaire de Riez (Dunant), Le Porge (AMITIE, projet), Marseille (2Africa, AAE-A, Ariane 2, Atlas Offshore, Hawk, IMEWE, Med Cable Network, PEACE Cable, SeaMeWe-4, TE North/TGN-Eurasia/SEACOM/Alexandro/Medex), La Seyne (CC5), Toulon (Sea-Me-We5), Cannes (CC4), Île Rousse (CC4), Ajaccio (CC5), Saint Pierre et Miquelon (St Pierre and Miquelon cable), Sainte-Marie (La Réunion, Lower Indian Ocean Network), Saint-Paul (La Réunion, SAFE), Le Port (La Réunion, Meltingpot Indianoceanic Submarine System), Cayenne (Guyane Française, Americas II), Kourou (Kanawa, Ellalink), la Polynésie Française (Honotua, Natitua, Manatua), Nouvelle-Calédonie (Picot-1 et 2, Gondwana 1 et 2)
les stations de contrôle et de surveillance, qui sont chargées du suivi du bon fonctionnement des câbles, des liens SDN, du routage.
Les câbles : un enjeu politique et stratégique
Les océans comprenaient 448 câbles sous-marins en 2019, pour un coût par câble d’environ 700 M€ par câble. Représentant 50% des investissements des GAFAM, la “course au câble” est loin d’être une gageure : qui possède les câbles “possède”, quelque part, les données qui y transitent et dispose d’un pouvoir géopolitique certain. En effet, les coupures de câbles peuvent avoir des effets considérables sur les pays qui sont impactés (cela a été le cas pour l’Algérie, la Somalie notamment).
Parmi les autres risques liés aux câbles, il faut bien entendu évoquer les risques d’interception (certains stations d’atterrissage sont “connues” pour disposer de dispositifs de recopie dont on imagine bien la destination, certains pays disposeraient de sous-marins capables d’actions physiques sur les câbles), les risques de destruction physique (couper un câble dont on connait la position est, finalement, relativement simple). Enfin, les stations d’atterrissage sont des bâtiments très importants à protéger.
Le site Internet de la ville de Brest et de Brest Métropole Océane ainsi que le journal Le Télégramme nous informent que les choses avancent sur la création d’un centre national (voire européen ?) de cybersécurité maritime à Brest, sujet que j’évoquais déjà ici et là. L’annonce publique officielle de la candidature de Brest a été réalisée aujourd’hui par Michel Gourtay, président du Technopôle Brest-Iroise (TBI) et vice-président de Brest Métropole chargé de l’économie à l’issue du conseil d’administration du Technopôle.
Il est vrai que Brest dispose de nombreux atouts pour accueillir ce centre. Je vais en citer quelques uns (et j’en oublierai sûrement) :
des acteurs et organisations publiques de premier plan : le Campus mondial de la mer, Ifremer, IUEM, le SHOM et bien sûr, le Technopôle Brest-Iroise ;
un tissu industriel de qualité et tourné vers la mer, que ce soit pour les grands acteurs, comme Thales ou Naval Group, mais aussi grâce à une myriade d’entreprises de qualité ;
de nombreux laboratoires de recherche, comme le lab-STICC ou encore la chaire de cyberdéfense des systèmes navals ;
des écoles d’ingénieur prestigieuses : IMT Atlantique, ENSTA Bretagne, École navale entre autres ;
enfin, la présence de la Marine nationale, ancrée de si longue date sur le secteur, et dotée de moyens de coordination importants, comme le Préfet maritime ou encore, dans le domaine de la coopération navale volontaire, le MICA Center et le MSHOA.
On apprend également qu’un courrier officiel de candidature en ce sens, cosigné par la Région Bretagne, a été transmis à M. le Premier ministre le 12 juillet dernier, avec le soutien de la Marine nationale.
Mais qu’est-ce qu’un centre national de cybersécurité maritime ? Quelles pourraient être ses missions ?
Tout d’abord, le rôle de coordination et d’animation sectorielles parait essentiel, en relation avec l’ensemble des acteurs du monde maritime en France (on pense aux armateurs, aux ports, aux acteurs industriels, au SGMer notamment), l’Agence nationale de sécurité des systèmes d’information, avec les autres CERT, mais aussi les acteurs européens voire mondiaux, comme l’OMI, sur les aspects liés à la réglementation voire à la certification dans ce domaine.
Ensuite la sensibilisation : il y a toujours à faire dans ce domaine, pour expliquer la menace, démontrer les risques, en appliquant cette sensibilisation au secteur maritime, si particulier. Cette sensibilisation pourrait gagner à passer par la mise en pratique, au travers d’entraînements à la cyberdéfense dédiés.
La formation : comme déjà évoqué, un mastère spécialisé en cybersécurité maritime est déjà en cours de création sur la région Brestoise : ce centre pourrait y apporter sa connaissance du secteur, son expérience, et contribuer à la formation des futurs experts du secteur.
La recherche : en lien avec la chaire de cyberdéfense des systèmes navals, ses partenaires industriels, cette mission est essentielle pour pouvoir répondre aux enjeux de demain sur des thématiques parfois complexes.
Enfin, très certainement une mission opérationnelle de cyberdéfense du monde maritime, proche de celle d’un CSIRT. Cette mission s’appuiera très certainement sur des capacités de cyber-surveillance, au travers d’un Security Operations Center à vocation maritime (navires et infrastructures terrestres, offshore et portuaires). Par ailleurs, le centre pourrait prendre à sa charge des actions préventives et réactives en cas d’incident. Gageons aussi d’une capacité de production et de partage d’information (type renseignement d’intérêt cyber / cyber threat intelligence) au niveau national et international spécifique au secteur. Une organisation et des procédures proches de ce qui fait au niveau du contrôle naval volontaire seraient d’ailleurs une bonne chose.
On l’espère également, un lien favorisé avec les industriels du secteur pour partager les meilleures pratiques et réfléchir ensemble à une meilleure cybersécurité des navires et infrastructures maritimes d’aujourd’hui et de demain !
Bref, un bien beau projet en perspective pour apporter du concret et des réponses au secteur !
P.S. 1 : Notons que le mastère spécialisé en cybersécurité des systèmes maritimes et portuaires indiqué dans l’article devrait bien se construire autour d’un consortium entre l’Institut Mines-Télécom, l’ENSTA Bretagne, l’École navale et l’École nationale supérieure maritime, comme nous l’avions précisé ici.
Suivre les dernières innovations à tout prix peut parfois avoir des conséquences imprévisibles. Le site USNI News nous apprend que l’US Navy va procéder progressivement à un retour en arrière massif en abandonnant les commandes tactiles des systèmes de propulsion au profit des bons vieux boutons rotatifs, commandes et interrupteurs physiques.
Rappelez-vous, il y a deux ans, une collision entre le navire de guerre américain USS John S. McCain et un tanker avait provoqué le décès de dix marins dans les eaux fréquentées au large de Singapour et de la Malaisie.
Le NTSB (National Transport Security Board) américain (un peu l’équivalent de notre Bureau d’Enquêtes et d’Analyses, le fameux BEA) vient de rendre son rapport et indique que les principales causes de l”incident sont liées à des défauts de procédures en passerelle et à un manque d’entraînement.
Mais ce qui peut surtout intéresser le lecteur de ce site est que l’US Navy et le NTSB se sont accordés sur le fait que l’équipage du navire n’avait pas compris le fonctionnement en détail du système de navigation et de passerelle intégré (IBNS, Integrated Bridge and Navigation System) du fabricant américain Northrop Grumman.
Plus précisément, alors que le navire évoluait dans une zone de trafic maritime dense au large de Singapour, une tentative de séparation des commandes de barre et de propulsion sur deux consoles différentes a été réalisée. Cette tentative a en fait conduit au transfert de l’ensemble des commandes au barreur, un marin moins expérimenté et moins familier des subtilités de fonctionnement de l’INSB et qui n’avait pas dormi la nuit précédente. Cette erreur a conduit le timonier à penser qu’il avait perdu le contrôle du navire. Durant cette période, la commande de propulsion, commandée par un écran tactile, devint inaccessible. Le rapport note ainsi “le contrôle de la ligne d’arbre bâbord et de la commande de direction était à présent affectée à la station du barreur, alors que le contrôle de la ligne d’arbre tribord avait été maintenue sur la station du timonier”. Conséquence : alors que le barreur pensait qu’il réduisait la vitesse sur les deux bords, il ne réduisait en fait que la rotation de la ligne d’arbres sur bâbord, entraînant un brusque changement de cap à proximité du tanker.
L’analyse du NTSB précise que, si l’ensemble des marins était apte conformément aux standards de l’US Navy, ces standards ne précisaient pas les nuances du transfert de contrôle entre les stations informatiques présentes en passerelle.
L’USS McCain était le premier navire de la 7ème flotte à être équipé avec cette passerelle numérique intégrée qui avait été installée à l’occasion d’un arrêt pour entretien au Japon, entraînant la disparition des commandes de propulsion manuelles habituelles au profit d’un contrôle à partir d’un écran tactile.
Lors de son passage en cour martiale, l’officier marinier en charge de la formation des équipers de quart de passerelle a indiqué que la seule formation qu’il avait lui-même reçue ne durait qu’une heure et que, avec les notices techniques, cela avait été le seul soutien qu’il avait pu obtenir.
Par la suite, l’US Navy a émis 22 directives pour permettre la prise en compte des spécificités de l’IBNS pour les navires qui en étaient équipés et prennent en compte la configuration, l’exploitation et le contrôle des systèmes de propulsion et de gouverne en mode normal et en mode secours.
Le rapport démontre aussi la complexité du système à écrans tactiles par rapport au système traditionnel, ce qui a poussé l’US Navy a réaliser une enquête pour déterminer si le mode d’ingénierie retenu avait été le bon. “Ce n’est pas parce que vous pouvez le faire que vous devez le faire” : c’est une des conclusions issues du retour d’expérience de cette enquête. “Le système de contrôle de la passerelle a été rendu complexe, trop complexe, avec des écrans tactiles et tout ce genre d’équipement”, précise le contre-amiral Bill Galinis, responsable des programmes de navires de surface.
L’Amiral précise que beaucoup de latitude est donnée aux chantiers navals dans la conception de la passerelle car que peu de spécifications de l’US Navy existent. Dans une volonté d’innovation et d’intégration de nouvelles technologies, “nous nous sommes éloignés des commandes physiques, et c’est probablement la demande numéro un des marins : redonnez-nous des commandes de propulsion que nous pouvons utiliser”.
Bilan : retour en arrière : l’US Navy prépare le re-déploiement de commandes physiques à bord de tous les navires de la classe de l’USS McCain, en complément de l’IBNS existant. La première installation est prévue à l’été 2020, après tous les tests de bon fonctionnement matériels et logiciels et les premiers entraînements. Cette décision vaut aussi pour les constructions neuves.
Mais ces efforts vont plus loin : l’US Navy veut élaborer une configuration commune non seulement au sein d’une classe, mais aussi au sein de la flotte dans son ensemble, tout en laissant une certaine flexibilité. Cette configuration ne se limite pas à préciser où les commandes doivent être implantées en passerelle, mais aussi la manière dont les fonctions apparaissent sur les écrans des systèmes de contrôle et, de manière générale, tout ce qui peut contribuer à limiter les risques de confusion et d’erreur pour un marin embarquant successivement sur plusieurs navires d’une même classe. Par exemple, pour l’affichage du cap : doit-il toujours être au même emplacement ou faut-il naviguer d’un écran à un autre ? Plus ces questions d’interface homme/machine sont traitées de manière commune et cohérente, plus l’opérateur comprend rapidement la situation et évite ainsi les erreurs.
Il en est de même pour d’autres systèmes, comme l’Automatic Identification System (AIS). Les équipages se sont également plaints du manque d’intégration de ce type de fonction, souvent reléguée sur un ordinateur portable avec des connexions par câble parfois douteuses et difficiles d’accès pendant certaines manœuvres.
Il convient cependant d’être vigilant : ce n’est pas parce que l’on met une commande “physique” que le système derrière, généralement à base d’automates, est supprimé pour autant : on a donc une interface physique qui réduit certains risques mais, derrière, le contrôle/commande numérique et ses vulnérabilités cyber demeurent bien présents.
Si ce sujet vous intéresse, je vous invite notamment à lire les commentaires suite à l’article de l’USNI News, qui sont particuièrement instructifs.
L’administration américaine a émis un bulletin d’alerte à destination des navires transitant dans le Golfe persique et à proximité. Parmi les risques listés : des interférences GPS (brouillage/leurrage), mais aussi de l’intrusion, du brouillage et de l’usurpation dans les communications VHF avec les navires, certains navires se faisant passer pour des navires américains ou de la coalition.
Depuis mai 2019, l’administration américaine a recensé de nombreuses actions illicites dans la région, et, dans deux cas, des interférences GPS ont eu lieu en même temps.
Le 19 juillet 2019, le pétrolier britannique Stena Impero est arraisonné en eaux (internationales, omanaises, voire iraniennes ?) par les forces iraniennes. Selon le Daily Mirror, le GCHQ – le service de renseignement électronique britannique – et le MI6 – les services secrets extérieurs outre-manche – mèneraient une enquête pour vérifier si le navire n’aurait pas été l’objet d’un leurrage GPS mené soit par l’Iran, soit par la Russie, pour faire dévier le navire de sa position et le faire entrer dans les eaux iraniennes (sur ce point, les informations varient sur la position du navire à l’heure de l’arraisonnement). Cette information de leurrage semble aussi confirmée par la Lloyd’s List Intelligence, qui affirme avoir identifié des informations AIS suspectes à l’heure de l’arraisonnement, indiquant un probable cas de leurrage du navire.
Un autre rapport, datant d’Avril 2019, recense plus de 10 000 cas de leurrage GPS sur une durée d’une année.
Une récente alerte de sécurité des gardes-côtes américains nous donne des informations intéressantes sur un incident cyber ayant eu lieu en février 2019 à bord d’un navire à fort tirant d’eau (sans plus de précisions). Ce navire, qui réalisait un trajet international à destination du port de New York et New Jersey, a informé les gardes-côte qu’ils faisaient face à un incident cyber significatif impactant leur réseau informatique à bord.
Une équipe composée de plusieurs experts de différentes agences gouvernementales, dirigée par les gardes-côtes, a répondu à cet appel et a conduit une analyse du réseau du navire et de ses systèmes essentiels de contrôle commande. L’équipe a conclu que, si le code malveillant avait dégradé de manière significative le fonctionnement des ordinateurs du bord, les systèmes essentiels de contrôle commande du navire n’avaient pas été touchés.
Cependant, l’équipe a relevé que le navire opérait sans aucune mesure de cybersécurité, exposant ainsi les systèmes de contrôle-commande critiques du navire à des vulnérabilités significatives. Ce risque de sécurité était cependant bien connu par l’équipage. Bien que la plupart des membres d’équipage n’utilisaient pas les ordinateurs du bord pour consulter leur courrier électronique, réaliser des achats en ligne ou vérifier leurs comptes bancaires, ce réseau était utilisé pour les communications officielles. Ainsi, la mise à jour des cartes électroniques, la gestion de la cargaison et la communication avec les pilotes, agents, gardes-côtes et autres organisations à terre utilisait ce réseau.
Les gardes-côtes américains précisent qu’il est difficile de généraliser pour savoir si la situation de ce navire est représentative de l’état actuel de cybersécurité à bord des autres navires à fort tirant d’eau. Cependant, avec des moteurs aujourd’hui contrôlés par des clics de souris, et une dépendance croissante sur les cartes et systèmes de navigation électroniques, la protection de ces systèmes avec des mesures dédiées de cybersécurité est essentielle, tout comme l’est la protection physique au navire ou la réalisation d’opérations de maintenance de routine sur la machine.
Les gardes-côtes soulignent qu’il est impératif que la communauté maritime s’adapte à l’évolution des technologies et s’organise face à la menace en reconnaissant le besoin pour des mesures d’hygiène numérique et en mettant en œuvre les mesures idoines. Les mesures de sécurité suivantes sont notamment listées (ne vous attendez pas à un scoop !) :
la segmentation des réseaux : les réseaux “à plat” permettent à un adversaire de naviguer facilement vers tout système qui y serait connecté. La segmentation en sous-réseaux rendent difficile ce type d’action ;
identification et authentification stricte : supprimer l’utilisation de comptes génériques et créer des profils réseau pour chaque employé, en leur obligeant à se connecter par l’utilisatio d’un mot de passe ou l’insertion d’une carte à puce pour se connecter. Limiter également les accès et les privilèges au strict niveau nécessaire pour que chaque utilisateur puisse travailler. Les comptes d’administration ne doivent être utilisés que lorsque strictement nécessaire ;
être prudent avec les médias amovibles : cet incident a révélé qu’il est de pratique courante de transférer les informations relatives à la cargaison à quai en utilisant une clé USB. Ces clés étaient traditionnellement connectées directement sur le réseau du bord sans contrôle antivirus préalable. Il est critique que tout média externe soit contrôlé sur un sas antivirus isolé avant toute connexion sur le réseau du bord. Ne jamais lancer d’exécutable provenant d’une source inconnue ;
installer un logiciel antivirus de base : une hygiène cyber de base peut stopper les incidents avaient qu’ils aient un impact sur les opérations. Installer et mettre à jour l’antivirus régulièrement ;
ne pas oublier d’installer les correctifs sur les systèmes d’exploitation : l’installation de correctifs est à la base de toute bonne hygiène numérique : les vulnérabilités impactant les systèmes d’exploitation et les applications changent quotidiennement.
Maintenir une cybersécurité efficace n’est pas qu’une histoire d'”IT”, mais aussi un impératif opérationnel fondamental au 21è siècle ! Les gardes-côtes encouragent tous les propriétaires et opérateurs du monte maritime à conduire des évaluations de cybersécurité pour mieux comprendre l’étendue de leurs vulnérabilités cyber. Ils rappellent également que le Department of Homeland Security (DHS) et la Cybersecurity and Infrastructure Security Agency (CISA) proposent de nombreuses ressources gratuites pour aider les armateurs à évaluer l’état de leurs réseaux et identifier les vulnérabilités cyber. Aux États-Unis, il existe des groupes d’intervention cyber, appelés les Hunt and Incident Response Team (HIRT), qui dépendent du National Cybersecurity and Communications Integration Center (NCCIC). Ces équipes sont à même de rechercher des traces d’évènements cyber et d’y répondre en assurant le confinement, la remédiation et la restauration au profit des organisations gouvernementales mais aussi du secteur privé. Toute entreprise peut solliciter les services du HIRT en visitant leur site Internet ( https://www.us-cert.gov ) ou en appelant 24h/24h et 7j/7j au (888) 282-0870. Espérons que ce type d’organisation voit le jour en France aussi.
Nous l’avions évoqué l’année dernière, les autorités du port de Singapour ont inauguré le 16 mai 2019 leur centre opérationnel de cybersécurité maritime (Maritime Security Operations Center, MSOC). Singapour est un hub mondial important dans le transbordement, notamment pour les containers.
“Il était donc important que nous protégions notre infrastructure maritime et portuaire pour prévenir toute interruption majeure de nos activités portuaires et la fourniture de services”,
précise M. Niam Chiang Meng, président de l’autorité maritime portuaire de Singapour.
Ce centre, dont l’ouverture était initialement prévue pour le 3è trimestre 2018 est dorénavant ouvert 24h/24h et 7j/7. Cette posture est assez originale, en phase de démarrage (elle a donc probablement déjà eu lieu), il est assez fréquent que les SOC travaillent en HO/JO et astreinte. L’ambition affichée du SOC est de renforcer la posture de cyber-sécurité maritime de Singapour et de répondre aux cyber-attaques éventuelles sur les infrastructures critiques. Le SOC est opéré par la société ST Engineering (une entreprise locale travaillant dans un secteur assez large, allant de l’aérospatial au maritime) et a pour capacités affichées :
la détection et le suivi des cyberattaques par l’analyse ees activités dans l’environnement IT (dont a priori pas dans l’OT)
la détection les anomalies et les menaces
la réponse aux incidents de cybersécurité en utilisant les solutions technologiques appropriées.
En plus de la partie SOC à proprement parler, le port de Singapour a également annoncé avoir mis en place d’autres initiatives. Il a ainsi travaillé avec la Singapore Shipping Association et Singapore Polytechnic pour développer une formation intermédiaire en cybersécurité maritime. L’objectif de la formation est d’améliorer leurs connaissances dans la gestion des menaces cyber. Bon, la durée annoncée de la formation n’est que d’une journée.
Les autorités ont par ailleurs collaboré avec le Singapore Maritime Institute et des instituts locaux d’enseignement supérieur pour travailler sur un programme de recherche en cybersécurité navale. Ce programme devrait se concentrer sur la protection des systèmes embarqués pour limiter les risques cyber face à la numérisation croissante des navires.
Point intéressant, les autorités portuaires se sont engagées à partager le renseignement d’intérêt cyber sur la menace et les incidents avec d’autres autorités portuaires.
Le rapport annuel de l’organisation professionnelle Armateurs de France vient de paraître. Cette organisation joue notamment le rôle de porte-parole des acteurs du transport et des services maritimes français.
Ce rapport évoque à plusieurs reprises le sujet de la cybersécurité maritime. En voici les principaux points :
Page 17, un encart intéressant sur le partenariat stratégique signé entre le groupe Bourbon et le Bureau Veritas concernant l’automatisation des navires du groupe. Frédéric Moulin, vice-président Innovation & Standards opérationnels chez Bourbon précise que « dans les services maritimes, les technologies connectées sont sources de réduction des coûts d’exploitation tout en maintenant les standards de qualité et de sécurité les plus élevés ». Dans ce contexte, la cybersécurité est bien entendu une menace particulière à prendre en compte. BV a fait appel à une filiale d’Airbus pour identifier et réduire les risques cyber, notamment ceux liés à la communication entre les navires et les infrastructures à terre. On rappelle que Bureau Veritas propose une certification cybersécurité des navires
Page 25, le rapport ouvre un chapitre particulier sur la cybersécurité. Après avoir rappelé la numérisation croissante du secteur, le rapport rappelle le caractère indispensable de la mise en œuvre de mesures de cybersécurité. Armateurs de France rappelle ensuite sa participation, au sein du Comité France Maritime, aux travaux codirigés par le Secrétariat Général de la Mer (SGMER). Le rapport rappelle la création du Conseil Cybersécurité du Monde Maritime (C2M2), qui aura pour mission la sécurisation du domaine maritime, l’identification des projets industriels, l’accompagnement des mesures de prévention, de formation et de cyber-résilience. Par ailleurs, le rapport souligne également la création, annoncée lors du CIMER et déjà analysée sur ce site, d’un centre national de coordination de la cybersécurité pour le maritime, dont les missions n’ont, à notre connaissance, pas été publiquement annoncées.
Enfin, page 38, le rapport donne la parole à Thibaut Marrel, spécialiste en cyber-sécurité à l’Agence nationale de sécurité des systèmes d’information (ANSSI), sur l’application de la directive européenne NIS (Network & Information Security) au secteur maritime français. Les sociétés de transport de passagers et de fret, dont les principales seront concernées par l’application de cette directive en raison de leur statut d’Opérateur de Service Essentiel (OSE). Thibaut Marrel rappelle que ces compagnies auront l’obligation de recenser et de déclarer à l’ANSSI leurs systèmes d’information les critiques, d’y appliquer des règles de cyber-sécurité et de déclarer les incidents après de l’agence. Ainsi, T. Marrel rappelle que 23 règles de sécurité devront ainsi être appliquées dans un délai allant de trois mois à trois ans. Ces mesures, bonnes pratiques d’hygiène informatique, mais aussi techniques et organisationnelles, sont détaillées dans l’arrêté relatif à la cyber-sécurité applicable aux OSE. Les navires sont (hélas) explicitement exclus du périmètre d’application de la directive, alors que leur cyber-sécurité est pourtant essentielle, comme rappelé à plusieurs reprises sur ce site.