Catégorie : Actualités

Veille technologique et actualités dans le domaine de la cyber-marétique

Les gardes-côtes américains interviennent à bord d’un navire objet d’un incident cyber.

Actualités

Une récente alerte de sécurité des gardes-côtes américains nous donne des informations intéressantes sur un incident cyber ayant eu lieu en février 2019 à bord d’un navire à fort tirant d’eau (sans plus de précisions). Ce navire, qui réalisait un trajet international à destination du port de New York et New Jersey, a informé les gardes-côte qu’ils faisaient face à un incident cyber significatif impactant leur réseau informatique à bord.

Une équipe composée de plusieurs experts de différentes agences gouvernementales, dirigée par les gardes-côtes, a répondu à cet appel et a conduit une analyse du réseau du navire et de ses systèmes essentiels de contrôle commande. L’équipe a conclu que, si le code malveillant avait dégradé de manière significative le fonctionnement des ordinateurs du bord, les systèmes essentiels de contrôle commande du navire n’avaient pas été touchés.

Cependant, l’équipe a relevé que le navire opérait sans aucune mesure de cybersécurité, exposant ainsi les systèmes de contrôle-commande critiques du navire à des vulnérabilités significatives. Ce risque de sécurité était cependant bien connu par l’équipage. Bien que la plupart des membres d’équipage n’utilisaient pas les ordinateurs du bord pour consulter leur courrier électronique, réaliser des achats en ligne ou vérifier leurs comptes bancaires, ce réseau était utilisé pour les communications officielles. Ainsi, la mise à jour des cartes électroniques, la gestion de la cargaison et la communication avec les pilotes, agents, gardes-côtes et autres organisations à terre utilisait ce réseau.

Les gardes-côtes américains précisent qu’il est difficile de généraliser pour savoir si la situation de ce navire est représentative de l’état actuel de cybersécurité à bord des autres navires à fort tirant d’eau. Cependant, avec des moteurs aujourd’hui contrôlés par des clics de souris, et une dépendance croissante sur les cartes et systèmes de navigation électroniques, la protection de ces systèmes avec des mesures dédiées de cybersécurité est essentielle, tout comme l’est la protection physique au navire ou la réalisation d’opérations de maintenance de routine sur la machine.

Les gardes-côtes soulignent qu’il est impératif que la communauté maritime s’adapte à l’évolution des technologies et s’organise face à la menace en reconnaissant le besoin pour des mesures d’hygiène numérique et en mettant en œuvre les mesures idoines. Les mesures de sécurité suivantes sont notamment listées (ne vous attendez pas à un scoop !) :

  • la segmentation des réseaux : les réseaux « à plat » permettent à un adversaire de naviguer facilement vers tout système qui y serait connecté. La segmentation en sous-réseaux rendent difficile ce type d’action ;
  • identification et authentification stricte : supprimer l’utilisation de comptes génériques et créer des profils réseau pour chaque employé, en leur obligeant à se connecter par l’utilisatio d’un mot de passe ou l’insertion d’une carte à puce pour se connecter. Limiter également les accès et les privilèges au strict niveau nécessaire pour que chaque utilisateur puisse travailler. Les comptes d’administration ne doivent être utilisés que lorsque strictement nécessaire ;
  • être prudent avec les médias amovibles : cet incident a révélé qu’il est de pratique courante de transférer les informations relatives à la cargaison à quai en utilisant une clé USB. Ces clés étaient traditionnellement connectées directement sur le réseau du bord sans contrôle antivirus préalable. Il est critique que tout média externe soit contrôlé sur un sas antivirus isolé avant toute connexion sur le réseau du bord. Ne jamais lancer d’exécutable provenant d’une source inconnue ;
  • installer un logiciel antivirus de base : une hygiène cyber de base peut stopper les incidents avaient qu’ils aient un impact sur les opérations. Installer et mettre à jour l’antivirus régulièrement ;
  • ne pas oublier d’installer les correctifs sur les systèmes d’exploitation : l’installation de correctifs est à la base de toute bonne hygiène numérique : les vulnérabilités impactant les systèmes d’exploitation et les applications changent quotidiennement.

Maintenir une cybersécurité efficace n’est pas qu’une histoire d' »IT », mais aussi un impératif opérationnel fondamental au 21è siècle ! Les gardes-côtes encouragent tous les propriétaires et opérateurs du monte maritime à conduire des évaluations de cybersécurité pour mieux comprendre l’étendue de leurs vulnérabilités cyber. Ils rappellent également que le Department of Homeland Security (DHS) et la Cybersecurity and Infrastructure Security Agency (CISA) proposent de nombreuses ressources gratuites pour aider les armateurs à évaluer l’état de leurs réseaux et identifier les vulnérabilités cyber. Aux États-Unis, il existe des groupes d’intervention cyber, appelés les Hunt and Incident Response Team (HIRT), qui dépendent du National Cybersecurity and Communications Integration Center (NCCIC). Ces équipes sont à même de rechercher des traces d’évènements cyber et d’y répondre en assurant le confinement, la remédiation et la restauration au profit des organisations gouvernementales mais aussi du secteur privé. Toute entreprise peut solliciter les services du HIRT en visitant leur site Internet ( https://www.us-cert.gov ) ou en appelant 24h/24h et 7j/7j au (888) 282-0870. Espérons que ce type d’organisation voit le jour en France aussi.

Le port de Singapour inaugure son SOC maritime

Actualités

Nous l’avions évoqué l’année dernière, les autorités du port de Singapour ont inauguré le 16 mai 2019 leur centre opérationnel de cybersécurité maritime (Maritime Security Operations Center, MSOC). Singapour est un hub mondial important dans le transbordement, notamment pour les containers.

Inauguration du MSOC (source : Singapore Port Authority)

« Il était donc important que nous protégions notre infrastructure maritime et portuaire pour prévenir toute interruption majeure de nos activités portuaires et la fourniture de services »,

précise M. Niam Chiang Meng, président de l’autorité maritime portuaire de Singapour.

Ce centre, dont l’ouverture était initialement prévue pour le 3è trimestre 2018 est dorénavant ouvert 24h/24h et 7j/7. Cette posture est assez originale, en phase de démarrage (elle a donc probablement déjà eu lieu), il est assez fréquent que les SOC travaillent en HO/JO et astreinte. L’ambition affichée du SOC est de renforcer la posture de cyber-sécurité maritime de Singapour et de répondre aux cyber-attaques éventuelles sur les infrastructures critiques. Le SOC est opéré par la société ST Engineering (une entreprise locale travaillant dans un secteur assez large, allant de l’aérospatial au maritime) et a pour capacités affichées :

  • la détection et le suivi des cyberattaques par l’analyse ees activités dans l’environnement IT (dont a priori pas dans l’OT)
  • la détection les anomalies et les menaces
  • la réponse aux incidents de cybersécurité en utilisant les solutions technologiques appropriées.
Inauguration du MSOC (source : Singapore Port Authority)

En plus de la partie SOC à proprement parler, le port de Singapour a également annoncé avoir mis en place d’autres initiatives. Il a ainsi travaillé avec la Singapore Shipping Association et Singapore Polytechnic pour développer une formation intermédiaire en cybersécurité maritime. L’objectif de la formation est d’améliorer leurs connaissances dans la gestion des menaces cyber. Bon, la durée annoncée de la formation n’est que d’une journée.

Les autorités ont par ailleurs collaboré avec le Singapore Maritime Institute et des instituts locaux d’enseignement supérieur pour travailler sur un programme de recherche en cybersécurité navale. Ce programme devrait se concentrer sur la protection des systèmes embarqués pour limiter les risques cyber face à la numérisation croissante des navires.

Point intéressant, les autorités portuaires se sont engagées à partager le renseignement d’intérêt cyber sur la menace et les incidents avec d’autres autorités portuaires.

Lien vers le communiqué de presse
Lien vers le discours inaugural

Le motus du SOC, que l’on voit sur la photo inaugurale, est : Identifier Protéger Détecter Répondre et Reconquérir. Souhaitons leur bon vent !

Publication du rapport annuel d’Armateurs de France

Actualités

Le rapport annuel de l’organisation professionnelle Armateurs de France vient de paraître. Cette organisation joue notamment le rôle de porte-parole des acteurs du transport et des services maritimes français.

Ce rapport évoque à plusieurs reprises le sujet de la cybersécurité maritime. En voici les principaux points :

  1. Page 17, un encart intéressant sur le partenariat stratégique signé entre le groupe Bourbon et le Bureau Veritas concernant l’automatisation des navires du groupe. Frédéric Moulin, vice-président Innovation & Standards opérationnels chez Bourbon précise que « dans les services maritimes, les technologies connectées sont sources de réduction des coûts d’exploitation tout en maintenant les standards de qualité et de sécurité les plus élevés ». Dans ce contexte, la cybersécurité est bien entendu une menace particulière à prendre en compte. BV a fait appel à une filiale d’Airbus pour identifier et réduire les risques cyber, notamment ceux liés à la communication entre les navires et les infrastructures à terre. On rappelle que Bureau Veritas propose une certification cybersécurité des navires
  2. Page 25, le rapport ouvre un chapitre particulier sur la cybersécurité. Après avoir rappelé la numérisation croissante du secteur, le rapport rappelle le caractère indispensable de la mise en œuvre de mesures de cybersécurité. Armateurs de France rappelle ensuite sa participation, au sein du Comité France Maritime, aux travaux codirigés par le Secrétariat Général de la Mer (SGMER). Le rapport rappelle la création du Conseil Cybersécurité du Monde Maritime (C2M2), qui aura pour mission la sécurisation du domaine maritime, l’identification des projets industriels, l’accompagnement des mesures de prévention, de formation et de cyber-résilience. Par ailleurs, le rapport souligne également la création, annoncée lors du CIMER et déjà analysée sur ce site, d’un centre national de coordination de la cybersécurité pour le maritime, dont les missions n’ont, à notre connaissance, pas été publiquement annoncées.
  3. Enfin, page 38, le rapport donne la parole à Thibaut Marrel, spécialiste en cyber-sécurité à l’Agence nationale de sécurité des systèmes d’information (ANSSI), sur l’application de la directive européenne NIS (Network & Information Security) au secteur maritime français. Les sociétés de transport de passagers et de fret, dont les principales seront concernées par l’application de cette directive en raison de leur statut d’Opérateur de Service Essentiel (OSE). Thibaut Marrel rappelle que ces compagnies auront l’obligation de recenser et de déclarer à l’ANSSI leurs systèmes d’information les critiques, d’y appliquer des règles de cyber-sécurité et de déclarer les incidents après de l’agence. Ainsi, T. Marrel rappelle que 23 règles de sécurité devront ainsi être appliquées dans un délai allant de trois mois à trois ans. Ces mesures, bonnes pratiques d’hygiène informatique, mais aussi techniques et organisationnelles, sont détaillées dans l’arrêté relatif à la cyber-sécurité applicable aux OSE. Les navires sont (hélas) explicitement exclus du périmètre d’application de la directive, alors que leur cyber-sécurité est pourtant essentielle, comme rappelé à plusieurs reprises sur ce site.

La marine américaine et ses partenaires font face à un déluge de cyberattaques.

Actualités

Après un premier article alarmant la semaine dernière, l’article du 12 mars 2019 du Wall Street Journal confirme les craintes liées au milieu maritime militaire américain.

Évoquant un rapport interne de 57 pages, remis au secrétaire d’état à la Navy Richard Spencer, le journal affirme que la marine américaine et ses partenaires industriels sont en « état de siège cyber ». Clairement visée (une nouvelle fois) : la Chine, qui « a volé des secrets d’état » au cours des dernières années, menaçant la position-même des États-Unis comme première puissance militaire mondiale.

D’après le Wall Street Journal, le rapport souligne également toute la difficulté que la Navy a à faire face à ces menaces et de mesure leur impact réel, notamment sur la quantité d’information dérobée. Un cadre de la Navy affirme même « si on ne fait rien, nous pourrions en mourir ». Le rapport souligne que la Chine a dorénavant acquis un avantage militaire court et long terme important grâce à ces attaques, ce qui risque de bousculer l’ordre mondial habituel.

Des cyberattaques chinoises auraient visé le secteur maritime militaire

Actualités

D’après le Wall Street Journal, des cyberattaques d’origine chinoise auraient visé, depuis au moins Avril 2017, au moins 27 universités du Canada, d’Asie du sud-est et des États-Unis, parmi lesquelles le MIT, les universités d’Hawaï et de Washington.

La cible ? L’objectif aurait été de récupérer des informations sensibles relatives aux technologies militaires du secteur maritime. Le vecteur, assez classique : une attaque par harponnage.

L’information, qui provient de la société iDefense et aurait été confirmée par FireEye, devrait faire l’objet d’un rapport complet à paraître la semaine prochaine.

Toujours d’après le WSJ, la majorité des universités visées travailleraient sur des projets liées aux technologies sous-marines ou disposent d’équipes disposant d’une expérience significative dans le domaine. La plupart des universités auraient eu un lien avec l’institution « Woods Hole Oceanographic Institution », un organisme à but non lucratif de recherche et de formation situé dans le Massachusetts, également compromis. Pour mémoire, cet organisme américain est le plus important dans le domaine de la recherche océanographique : on se rappelle qu’il a ainsi participé à la localisation du Titanic en 1985.

Les universités concernées auraient détecté l’intrusion car leur réseau émettaient des requêtes régulière (ping) vers des serveurs situés en Chine et reconnus pour avoir déjà utilisés lors d’attaques menées par un groupe d’attaquant chinois connu alternativement sous le nom d’APT40 ou encore TEMP.Periscope, Leviathan ou encore Mudcarp.

GPS, maritime et 6 avril 2019

Actualités

Plusieurs médias écrits et TV se sont inquiétés depuis février du mécanisme de Week Number Rollover prévu le 6 avril 2019. Avec des titres alarmistes, certains vous suggèrent presque de ressortir la carte papier. Alors, qui croire ? Quels impacts pour la marétique ?

GNSS, GPS, kezako

Le 10 avril 2018, le Department of Homeland Security et, plus précisément, le CERT-ICS, a émis un document à l’attention des utilisateurs du système de GNSS (Global Navigation Satellite System) GPS (Global Positioning System). Je rappelle, mais vous le savez, qu’il y a plusieurs réseaux GNSS (système de navigation par satellite en français), le plus connu étant le GPS, mais il y a aussi, bien sûr, Galiléo qui sera pleinement fonctionnel en 2020 et le système russe GLONASS, pour les plus connus ayant une couverture mondiale.

Une histoire de semaines

Dans ce document, le CERT-ICS attire l’attention des utilisateurs sur les effets possibles de la date du 6 avril 2019 sur les systèmes utilisant le GPS comme référence horaire. En effet, dans la nuit du 6 au 7 avril 2019, un peu avant minuit UTC, aura lieu un « Week Number (WN) Rollover ». En effet, la trame GPS standard contient un paramètre d’une longueur de 10 bits, représentant le numéro de la semaine (WN). Le paramètre WN dans le message GPS rebascule donc à 0 lorsque tous les bits ont été incrémentés à 1, soit toutes les 1024 semaines. La première incrémentation datant du 6 janvier 1980, et le premier WN rollover ayant eu lieu le 21 août 1999.

Les constructeurs rentrent en jeu

Théoriquement, les constructeurs de GPS sont censés respecter les spécifications de l’interfaces appelées IS-GPS-200H (pour les curieux, elle est disponible ici), qui précise bien les caractéristiques du paramètre WN et les dates de rollover. Bon, la moins bonne nouvelle c’est que les implémentations diffèrent suivant les constructeurs. Notamment, si vous avez un GPS assez ancien, il existe un risque qu’il n’ait pas été programmé pour passer un second rollover… des essais réalisés sur certains GPS ont ainsi montré que certains récepteurs géraient mal ce rollover et que la continuité de la date pourrait poser problème. Par exemple, certains fabricants ont appuyé le paramètre WN sur la date de création de leur micrologiciel… D’autres GPS pourraient revenir 1024 semaines en arrière, soit au 21/22 Août 1999…

Les constructeurs diffusent donc aujourd’hui, pour certains, des mises à jour soit automatiques, soit manuelles, suivant le modèle concerné. Par le passé, des erreurs similaires ont malgré tout pu avoir quelques conséquences. C’est le cas de certains GPS à vocation aéronautique de Garmin. Remarque, un problème similaire a déjà été rencontré lorsque certains produits sont passés à la 1000è semaine avec des conséquences pas franchement neutres !

Sur le secteur maritime, les principaux fabricants que l’on rencontre sont (vous pouvez m’en communiquer d’autres) :

Il est donc fort probable que tous les impacts n’aient pas été diffusés. Certains constructeurs moins consciencieux pourraient n’apporter qu’un support très limité, notamment aux appareils assez anciens. Enfin, d’autres ne font qu’utiliser des puces GPS issues de sous-traitants, comme Trimble (voir leur communiqué, où globalement tout va bien, mais en fait non) ou encore ST Microelectronics, qui a parfois aussi connu quelques soucis

Les impacts

Les infrastructures critiques utilisent fréquemment le GPS comme référence horaire. C’est aussi bien sûr le cas du secteur maritime, qui utilise le réseau GPS depuis des dizaines d’années, en remplacement des réseaux radio de positionnement de l’époque (LORAN et consorts, et qui se rappelle de SYLEDIS !!).

Vous l’aurez compris d’après les éléments lus ci-dessus :

  1. La liste de tous les matériels impactés n’est pas disponible
  2. Les matériels concernés semblent plutôt anciens
  3. Le rollover le se fera pas systématiquement le 6 avril…
  4. Les impacts peuvent être mineurs (après tout, on ne perd « que » potentiellement la date)
  5. A priori, pas d’impact sur le positionnement à proprement parler en latitude / longitude

La difficulté, pour le secteur maritime, c’est que la référence GPS est utilisée à d’autres fins qu’obtenir la seule position :

  1. La référence date / heure du GPS est transmise au format NMEA du GPS sur un bus (spécifique ou IP, souvent, aujourd’hui) vers de nombreux équipements qui s’en alimentent. Une mauvaise date peut donc se propager.
  2. Si le GPS dysfonctionne totalement (= perte de plus que la date), l’impact peut être important : il pourrait bien ne plus rien diffuser du tout sur le bus NMEA.
  3. La date peut être utilisée par les ECDIS, pour calculer par exemple la date/heure d’arrivée à un point. Si la date change brutalement, l’ECDIS peut répondre de manière anormale.
  4. La référence date peut aussi alimenter :
    • les systèmes SMDSM, y compris certains récepteurs INMARSAT (la référence GPS sert aussi souvent à l’asservissement / pointage des antennes paraboliques ou à diverses éphémérides)
    • les systèmes SSAS (Ship Security Alert System)
    • les systèmes VMS (Vessel Monitoring System)
    • les systèmes VDR (Voyage Data Recorder)
    • les systèmes AIS (Automatic Identification System)
    • les systèmes d’éphéméride, comme le calcul des marées
  5. Enfin, à bord des navires de tonnage important, les informations de date peuvent aussi être diffusées vers d’autres systèmes soit de synchronisation (serveurs NTP), voire pour maintenir la date de systèmes industriels embarqués, par exemple. Voir sur ce site, notamment.

Il est donc important, pour vous qui utilisez ces équipements dans le secteur maritime, de bien vérifier que votre modèle n’est pas trop ancien et non affecté par ces rollovers de mars et avril 2019. Et les mettre à jour, si nécessaire.

Pour en savoir plus : https://www.gps.gov/

3 axes d’effort de l’US Navy sur la cybersécurité

Actualités

Un article assez complet et sincère sur les points d’attention de l’US Navy en termes de cyber-sécurité qui valait bien une petite analyse.

L’US Navy l’avoue, mais on le savait déjà : ils ont déjà fait l’objet de cyberattaques, a plusieurs reprises, à des degrés et avec des conséquences divers. Le Naval Air Sytems Command a annoncé le 7 janvier 2019 de nouveaux axes d’efforts dans 36 (pas moins !) domaines de recherche, de l’intelligence artificielle à la résilience en passant par la sécurité au niveau des postes clients et serveurs.

« Il ne s’agit pas nécessairement de recherche avancée, mais d’un premier par dans le contrôle de la qualité de la cybersécurité qui aurait déjà dû être réalisé pour les systèmes de mission », précise Bryson Bort, le fondateur de Scythe.

Cette annonce survient alors qu’un rapport d’inspection générale rendu public soulignait l’absence de prise en compte du Pentagone dans la prise en compte de la cyber-sécurité pour la protection des systèmes de missiles balistiques. Un autre rapport émis en octobre 2018 par le Government Accountability Office soulignait le travail de fond qui restait à mener et la vulnérabilité quasi systématique de toutes les capacités militaires américaines.

Parmi les 36 domaines de recherche, l’article se concentre sur trois piliers, assez communs et pas nécessairement spécifiques à la marétique (bien que leur application y soit probablement plus complexe).

La reconfiguration dynamique

D’après la définition du NIST, il s’agit de rendre l’action et la compréhension de l’attaquant plus compliquée, en apportant des changements réguliers, voire constants, dans la configuration d’équipements comme les routeurs, les règles de contrôle d’accès, les paramètres des systèmes de détection et de prévention d’intrusion, les règles de filtrage pour les pare-feux ou les passerelles.

Si ces reconfigurations sont fréquentes en réaction à une cyberattaque, leur utilisation en prévention n’est pas encore dans l’air du temps.

Tactiques de déception

Les experts ont depuis longtemps utilisé des stratégies de la guerre cinétique classique dans les batailles numériques, notamment l’utilisation de techniques d’interdiction et de diversion (deception). Concernant la diversion, cette tactique a déjà fait l’objet d’une étude du MITRE en 2015.

Malgré tout, ces techniques, et notamment la diversion, restent encore embryonnaires, tant dans leur réalité physique et logicielle, leur déploiement, mais également dans la mesure de leur efficacité face à un attaquant.

Intelligence artificielle

Au-delà du buzzword, force est de reconnaître que le terme (et les technologies, espérons-le) fond recette dans la top list des recherches en termes de cyber-sécurité. Il en est de même pour l’US Navy, qui travaille depuis 2015 sur le sujet et pour laquelle plus de la moitié des opportunités de recherche publiées en 2018 couvrent le secteur IA et machine learning/Big data.

La recherche sur l’application des technologies d’IA se développe au fur et à mesure de l’accroissement du volume de données, l’humain et les algorithmes traditionnels arrivant parfois à leurs limites. point de vue partagé par l’US Navy dans cette interview. Le développement des équipements autonome explique aussi en bonne partie ce surcroît d’intérêt.

L’article complet, en anglais, se trouve ici.

Conférence CLUSIF : #Panocrim 2018 – Des attaques au cœur des métiers – Transport maritime

Actualités, Les risques

A l’occasion de la conférence du CLUSIF Panocrim 2018, AturysCS dresse un rapide panorama des menaces pesant sur le secteur maritime. Au programme : les vulnérabilités SATCOM et un aperçu des risques liées à la prise de contrôle de systèmes industriels.

Retrouvez l’intervention complète ci-dessous.

https://clusif.fr/content/uploads/2019/01/03_Des-attaques-au-c%C5%93ur-des-m%C3%A9tiers-Transport-maritime_THOMAS.pdf

Reportage sur un bac autonome en Finlande

Actualités

Ci-dessous vous trouverez un reportage tourné par la chaîne BBC en Finlande à bord d’un navire autonome (un vrai, pas une animation 3D). Très intéressant, puisque cela risque de devenir une réalité pour bientôt.

La journaliste évoque le sujet cyber vers 2’30, en précisant que « si quelque chose va mal avec le navire autonome, un poste de commande [à terre] comme celui-ci permettra de prendre contrôle du navire depuis la terre et le mettre en sécurité, où qu’il soit dans le monde. Rolls -Royce, qui est à l’origine de la technologie pense que, dans moins de 20 ans, nous verrons des navires complètement autonomes traverser nos océans. Mais, comme avec toute technologie connectée, une des grandes inquiétudes est la technologie. » Oskar Levander, le vice-président innovation de Rolls-Royce précise ensuite « Ce que nous avons fait est que nous avons réalisé de gros efforts en termes de sécurité dès le début du développement de navire autonome. Nous pouvons pouvons faire en sorte que l’accès au navire pour des pirates [il ne précise plus s’il s’agit de cyber ou non, d’ailleurs, c’est symptômatique] soit difficile, mais probablement qu’à un moment donné ils arriveront à entrée sur le navire. Ce que l’on fait par la suite est, bien entendu, de ne pas leur permettre de prendre contrôle du navire. En leur refusant l’accès au système, ils ne peuvent pas le piloter. Donc, en fait, leur seule option est de désactiver la machine pour stopper le navire. Et avoir un navire qui flotte au milieu de l’océan sans propulsion n’est pas facile. »