La marine américaine et ses partenaires font face à un déluge de cyberattaques.

Après un premier article alarmant la semaine dernière, l’article du 12 mars 2019 du Wall Street Journal confirme les craintes liées au milieu maritime militaire américain.

Évoquant un rapport interne de 57 pages, remis au secrétaire d’état à la Navy Richard Spencer, le journal affirme que la marine américaine et ses partenaires industriels sont en “état de siège cyber”. Clairement visée (une nouvelle fois) : la Chine, qui “a volé des secrets d’état” au cours des dernières années, menaçant la position-même des États-Unis comme première puissance militaire mondiale.

D’après le Wall Street Journal, le rapport souligne également toute la difficulté que la Navy a à faire face à ces menaces et de mesure leur impact réel, notamment sur la quantité d’information dérobée. Un cadre de la Navy affirme même “si on ne fait rien, nous pourrions en mourir”. Le rapport souligne que la Chine a dorénavant acquis un avantage militaire court et long terme important grâce à ces attaques, ce qui risque de bousculer l’ordre mondial habituel.

Des cyberattaques chinoises auraient visé le secteur maritime militaire

D’après le Wall Street Journal, des cyberattaques d’origine chinoise auraient visé, depuis au moins Avril 2017, au moins 27 universités du Canada, d’Asie du sud-est et des États-Unis, parmi lesquelles le MIT, les universités d’Hawaï et de Washington.

La cible ? L’objectif aurait été de récupérer des informations sensibles relatives aux technologies militaires du secteur maritime. Le vecteur, assez classique : une attaque par harponnage.

L’information, qui provient de la société iDefense et aurait été confirmée par FireEye, devrait faire l’objet d’un rapport complet à paraître la semaine prochaine.

Toujours d’après le WSJ, la majorité des universités visées travailleraient sur des projets liées aux technologies sous-marines ou disposent d’équipes disposant d’une expérience significative dans le domaine. La plupart des universités auraient eu un lien avec l’institution “Woods Hole Oceanographic Institution”, un organisme à but non lucratif de recherche et de formation situé dans le Massachusetts, également compromis. Pour mémoire, cet organisme américain est le plus important dans le domaine de la recherche océanographique : on se rappelle qu’il a ainsi participé à la localisation du Titanic en 1985.

Les universités concernées auraient détecté l’intrusion car leur réseau émettaient des requêtes régulière (ping) vers des serveurs situés en Chine et reconnus pour avoir déjà utilisés lors d’attaques menées par un groupe d’attaquant chinois connu alternativement sous le nom d’APT40 ou encore TEMP.Periscope, Leviathan ou encore Mudcarp.

GPS, maritime et 6 avril 2019

Plusieurs médias écrits et TV se sont inquiétés depuis février du mécanisme de Week Number Rollover prévu le 6 avril 2019. Avec des titres alarmistes, certains vous suggèrent presque de ressortir la carte papier. Alors, qui croire ? Quels impacts pour la marétique ?

GNSS, GPS, kezako

Le 10 avril 2018, le Department of Homeland Security et, plus précisément, le CERT-ICS, a émis un document à l’attention des utilisateurs du système de GNSS (Global Navigation Satellite System) GPS (Global Positioning System). Je rappelle, mais vous le savez, qu’il y a plusieurs réseaux GNSS (système de navigation par satellite en français), le plus connu étant le GPS, mais il y a aussi, bien sûr, Galiléo qui sera pleinement fonctionnel en 2020 et le système russe GLONASS, pour les plus connus ayant une couverture mondiale.

Une histoire de semaines

Dans ce document, le CERT-ICS attire l’attention des utilisateurs sur les effets possibles de la date du 6 avril 2019 sur les systèmes utilisant le GPS comme référence horaire. En effet, dans la nuit du 6 au 7 avril 2019, un peu avant minuit UTC, aura lieu un “Week Number (WN) Rollover”. En effet, la trame GPS standard contient un paramètre d’une longueur de 10 bits, représentant le numéro de la semaine (WN). Le paramètre WN dans le message GPS rebascule donc à 0 lorsque tous les bits ont été incrémentés à 1, soit toutes les 1024 semaines. La première incrémentation datant du 6 janvier 1980, et le premier WN rollover ayant eu lieu le 21 août 1999.

Les constructeurs rentrent en jeu

Théoriquement, les constructeurs de GPS sont censés respecter les spécifications de l’interfaces appelées IS-GPS-200H (pour les curieux, elle est disponible ici), qui précise bien les caractéristiques du paramètre WN et les dates de rollover. Bon, la moins bonne nouvelle c’est que les implémentations diffèrent suivant les constructeurs. Notamment, si vous avez un GPS assez ancien, il existe un risque qu’il n’ait pas été programmé pour passer un second rollover… des essais réalisés sur certains GPS ont ainsi montré que certains récepteurs géraient mal ce rollover et que la continuité de la date pourrait poser problème. Par exemple, certains fabricants ont appuyé le paramètre WN sur la date de création de leur micrologiciel… D’autres GPS pourraient revenir 1024 semaines en arrière, soit au 21/22 Août 1999…

Les constructeurs diffusent donc aujourd’hui, pour certains, des mises à jour soit automatiques, soit manuelles, suivant le modèle concerné. Par le passé, des erreurs similaires ont malgré tout pu avoir quelques conséquences. C’est le cas de certains GPS à vocation aéronautique de Garmin. Remarque, un problème similaire a déjà été rencontré lorsque certains produits sont passés à la 1000è semaine avec des conséquences pas franchement neutres !

Sur le secteur maritime, les principaux fabricants que l’on rencontre sont (vous pouvez m’en communiquer d’autres) :

Il est donc fort probable que tous les impacts n’aient pas été diffusés. Certains constructeurs moins consciencieux pourraient n’apporter qu’un support très limité, notamment aux appareils assez anciens. Enfin, d’autres ne font qu’utiliser des puces GPS issues de sous-traitants, comme Trimble (voir leur communiqué, où globalement tout va bien, mais en fait non) ou encore ST Microelectronics, qui a parfois aussi connu quelques soucis

Les impacts

Les infrastructures critiques utilisent fréquemment le GPS comme référence horaire. C’est aussi bien sûr le cas du secteur maritime, qui utilise le réseau GPS depuis des dizaines d’années, en remplacement des réseaux radio de positionnement de l’époque (LORAN et consorts, et qui se rappelle de SYLEDIS !!).

Vous l’aurez compris d’après les éléments lus ci-dessus :

  1. La liste de tous les matériels impactés n’est pas disponible
  2. Les matériels concernés semblent plutôt anciens
  3. Le rollover le se fera pas systématiquement le 6 avril…
  4. Les impacts peuvent être mineurs (après tout, on ne perd “que” potentiellement la date)
  5. A priori, pas d’impact sur le positionnement à proprement parler en latitude / longitude

La difficulté, pour le secteur maritime, c’est que la référence GPS est utilisée à d’autres fins qu’obtenir la seule position :

  1. La référence date / heure du GPS est transmise au format NMEA du GPS sur un bus (spécifique ou IP, souvent, aujourd’hui) vers de nombreux équipements qui s’en alimentent. Une mauvaise date peut donc se propager.
  2. Si le GPS dysfonctionne totalement (= perte de plus que la date), l’impact peut être important : il pourrait bien ne plus rien diffuser du tout sur le bus NMEA.
  3. La date peut être utilisée par les ECDIS, pour calculer par exemple la date/heure d’arrivée à un point. Si la date change brutalement, l’ECDIS peut répondre de manière anormale.
  4. La référence date peut aussi alimenter :
    • les systèmes SMDSM, y compris certains récepteurs INMARSAT (la référence GPS sert aussi souvent à l’asservissement / pointage des antennes paraboliques ou à diverses éphémérides)
    • les systèmes SSAS (Ship Security Alert System)
    • les systèmes VMS (Vessel Monitoring System)
    • les systèmes VDR (Voyage Data Recorder)
    • les systèmes AIS (Automatic Identification System)
    • les systèmes d’éphéméride, comme le calcul des marées
  5. Enfin, à bord des navires de tonnage important, les informations de date peuvent aussi être diffusées vers d’autres systèmes soit de synchronisation (serveurs NTP), voire pour maintenir la date de systèmes industriels embarqués, par exemple. Voir sur ce site, notamment.

Il est donc important, pour vous qui utilisez ces équipements dans le secteur maritime, de bien vérifier que votre modèle n’est pas trop ancien et non affecté par ces rollovers de mars et avril 2019. Et les mettre à jour, si nécessaire.

Pour en savoir plus : https://www.gps.gov/

3 axes d’effort de l’US Navy sur la cybersécurité

Un article assez complet et sincère sur les points d’attention de l’US Navy en termes de cyber-sécurité qui valait bien une petite analyse.

L’US Navy l’avoue, mais on le savait déjà : ils ont déjà fait l’objet de cyberattaques, a plusieurs reprises, à des degrés et avec des conséquences divers. Le Naval Air Sytems Command a annoncé le 7 janvier 2019 de nouveaux axes d’efforts dans 36 (pas moins !) domaines de recherche, de l’intelligence artificielle à la résilience en passant par la sécurité au niveau des postes clients et serveurs.

“Il ne s’agit pas nécessairement de recherche avancée, mais d’un premier par dans le contrôle de la qualité de la cybersécurité qui aurait déjà dû être réalisé pour les systèmes de mission”, précise Bryson Bort, le fondateur de Scythe.

Cette annonce survient alors qu’un rapport d’inspection générale rendu public soulignait l’absence de prise en compte du Pentagone dans la prise en compte de la cyber-sécurité pour la protection des systèmes de missiles balistiques. Un autre rapport émis en octobre 2018 par le Government Accountability Office soulignait le travail de fond qui restait à mener et la vulnérabilité quasi systématique de toutes les capacités militaires américaines.

Parmi les 36 domaines de recherche, l’article se concentre sur trois piliers, assez communs et pas nécessairement spécifiques à la marétique (bien que leur application y soit probablement plus complexe).

La reconfiguration dynamique

D’après la définition du NIST, il s’agit de rendre l’action et la compréhension de l’attaquant plus compliquée, en apportant des changements réguliers, voire constants, dans la configuration d’équipements comme les routeurs, les règles de contrôle d’accès, les paramètres des systèmes de détection et de prévention d’intrusion, les règles de filtrage pour les pare-feux ou les passerelles.

Si ces reconfigurations sont fréquentes en réaction à une cyberattaque, leur utilisation en prévention n’est pas encore dans l’air du temps.

Tactiques de déception

Les experts ont depuis longtemps utilisé des stratégies de la guerre cinétique classique dans les batailles numériques, notamment l’utilisation de techniques d’interdiction et de diversion (deception). Concernant la diversion, cette tactique a déjà fait l’objet d’une étude du MITRE en 2015.

Malgré tout, ces techniques, et notamment la diversion, restent encore embryonnaires, tant dans leur réalité physique et logicielle, leur déploiement, mais également dans la mesure de leur efficacité face à un attaquant.

Intelligence artificielle

Au-delà du buzzword, force est de reconnaître que le terme (et les technologies, espérons-le) fond recette dans la top list des recherches en termes de cyber-sécurité. Il en est de même pour l’US Navy, qui travaille depuis 2015 sur le sujet et pour laquelle plus de la moitié des opportunités de recherche publiées en 2018 couvrent le secteur IA et machine learning/Big data.

La recherche sur l’application des technologies d’IA se développe au fur et à mesure de l’accroissement du volume de données, l’humain et les algorithmes traditionnels arrivant parfois à leurs limites. point de vue partagé par l’US Navy dans cette interview. Le développement des équipements autonome explique aussi en bonne partie ce surcroît d’intérêt.

L’article complet, en anglais, se trouve ici.

Conférence CLUSIF : #Panocrim 2018 – Des attaques au cœur des métiers – Transport maritime

A l’occasion de la conférence du CLUSIF Panocrim 2018, AturysCS dresse un rapide panorama des menaces pesant sur le secteur maritime. Au programme : les vulnérabilités SATCOM et un aperçu des risques liées à la prise de contrôle de systèmes industriels.

Retrouvez l’intervention complète ci-dessous.

https://clusif.fr/content/uploads/2019/01/03_Des-attaques-au-c%C5%93ur-des-m%C3%A9tiers-Transport-maritime_THOMAS.pdf

Reportage sur un bac autonome en Finlande

Ci-dessous vous trouverez un reportage tourné par la chaîne BBC en Finlande à bord d’un navire autonome (un vrai, pas une animation 3D). Très intéressant, puisque cela risque de devenir une réalité pour bientôt.

La journaliste évoque le sujet cyber vers 2’30, en précisant que “si quelque chose va mal avec le navire autonome, un poste de commande [à terre] comme celui-ci permettra de prendre contrôle du navire depuis la terre et le mettre en sécurité, où qu’il soit dans le monde. Rolls -Royce, qui est à l’origine de la technologie pense que, dans moins de 20 ans, nous verrons des navires complètement autonomes traverser nos océans. Mais, comme avec toute technologie connectée, une des grandes inquiétudes est la technologie.” Oskar Levander, le vice-président innovation de Rolls-Royce précise ensuite “Ce que nous avons fait est que nous avons réalisé de gros efforts en termes de sécurité dès le début du développement de navire autonome. Nous pouvons pouvons faire en sorte que l’accès au navire pour des pirates [il ne précise plus s’il s’agit de cyber ou non, d’ailleurs, c’est symptômatique] soit difficile, mais probablement qu’à un moment donné ils arriveront à entrée sur le navire. Ce que l’on fait par la suite est, bien entendu, de ne pas leur permettre de prendre contrôle du navire. En leur refusant l’accès au système, ils ne peuvent pas le piloter. Donc, en fait, leur seule option est de désactiver la machine pour stopper le navire. Et avoir un navire qui flotte au milieu de l’océan sans propulsion n’est pas facile.”


Parution de “Cybersécurité et Politiques Publiques” sur la cybersécurité maritime

Le CyberCercle vient de publier le premier numéro de Cybersécurité et Politiques Publiques.

Je me réjouis personnellement que cette première lettre s’intéresse à ce sujet passionnant qu’est la cybersécurité maritime, avec des prises de paroles de personnalités du secteur.

Au sommaire de cette lettre :

  • Un éditorial par Eric BOTHOREL, député des Côtes d’Armor et président du groupe d’études Economie Numérique de la donnée, de la Connaissance et de l’Intelligence artificielle
  • Une intervention de Vincent BOUVIER, Secrétaire Général de la Mer
  • Thibault MARREL, coordinateur sectoriel de l’ANSSI, qui évoque la vision de l’Agence sur ce secteur en pleine transformation
  • Un article de Bruno BENDER, coordinateur cybersécurité maritime, vice-président du secrétariat général Mer
  • Deux articles de la Marine nationale sur le maintien en conditions de sécurité, l’entraînement et la cyber-surveillance dans un contexte naval
  • Une intervention de Stéphane MEYNET, président fondateur, CERTitude Numérique, sur la cybersécurité portuaire et notamment les systèmes à automates.
  • Vincent DENAMUR, sous-directeur de la sécurité maritime, direction des Affaires maritimes, qui évoque les sujets liés notamment à l’application de la réglementation dans le secteur maritime
  • François LAMBERT, délégué général du GICAN, évoque les actions du groupe dans le domaine de la cybersécurité maritime
  • Franck GICQUEL, chargé de mission, cybermalveillance.gouv.fr, rappelle le rôle de la plateforme et son intérêt pour le secteur naval.F

A télécharger sur le site du cybercercle.

Parution de la 3è édition du guide de bonnes pratiques pour l’industrie maritime dans le domaine cyber

Il existe de nombreux guides de recommandations pour la mise en œuvre de mesures cyber dans le monde maritime. Un peu trop, et inégaux en qualité, ce qui rend parfois les choses un peu illisibles (mettons-nous à la place du marin, de l’armateur, qui doivent les comprendre et les mettre en œuvre…).

Parmi ces guides, un fait malgré tout référence, notamment par le nombre d’associations et d’acteurs d’importance qui y ont participé (21) mais aussi parce qu’il parle correctement au monde maritime et du monde maritime, en adaptant les menaces cyber à ce secteur si particulier. Ce guide, “The Guidelines on Cyber Security Onboard Ships”, vient de paraître sous sa 3ème édition.

Il est le fruit d’un travail au longs cours entre associations d’armateurs et d’industriels du secteurs, notamment BIMCO, CLIA, ICS, INTERCARGO, INTERMANAGER, INTERTANKO, l’IUMI, l’OCIMF et le WORLD SHIPPING COUNCIL.

Au-delà des recommandations classiques que l’on trouve dans ce type d’ouvrage, deux points de lecture méritent une attention particulière : la publication de nouveaux incidents ayant touché le secteur maritime, et la bonne prise en compte des spécificités du secteur.


Concernant les incidents, le guide liste un certain nombre d’évènements ayant touché le secteur maritime, essentiellement à titre d’exemple. Au-delà des incidents publics déjà connus pour lesquels j’avais déjà rédigé une première liste j’en ai retenu quelques évocateurs…

Deux incidents liés directement à des supports USB, qui sont fréquemment utilisés pour mettre à jour des systèmes, réaliser des opérations de maintenance, ou transférer des fichiers de ou vers des systèmes marétiques “hors réseau” :

  • l’infection de navires par un, voire deux (!) rançongiciels, mais dont l’origine provenait de partenaires (industriels ou commerciaux), et non d’une négligence due à l’équipage : ce point montre bien l’importance de mesures de protection bilatérales avec l’ensemble des intervenants extérieurs à l’entreprise et au navire. Il est intéressant de noter que, dans un des cas, le propriétaire a payé la rançon. A l’origine de ces infections, le rapport indique notamment l’absence / la faiblesse de mots de passe sur les outils de télémaintenance des navires, voire l’existence de comptes non documentés.
  • le second concerne un avitailleur, qui a demandé à accéder à la salle des machines pour imprimer des documents à signer. Sa clé USB, infectée, a compromis une partie du réseau “bureautique” du navire sans toucher aux systèmes de contrôle commande, probablement isolés au niveau réseau (ouf). Le second concerne la découverte, lors d’un test d’intrusion, de l’existence d’un code malveillant sur un système non connecté à Internet mais qui était conçu pour l’être. Le code, qui avait été introduit par support USB, était présent dans le système depuis… 875 jours (infection lors de  l’installation du logiciel) ! Amis pentesteurs : vous avez de l’avenir dans la marétique !

Et un joli chapelet d’incidents sur les ECDIS (Electronic Chart Display and Information System). Cela fait partie des évènements redoutés que j’avais cité, donc c’est tout sauf une surprise. Par contre, on voit qu’une confiance exagérée dans le numérique (l’ECDIS) sans disposer d’un système éprouvé en secours (les cartes papiers) peut engager la résilience et la disponibilité du navire :

  • l’infection virale d’un système ECDIS  qui a retardé la mise à l’eau d’un nouveau navire (le navire n’avait pas de carte papier de secours…).  Le guide précise aussi que ni le capitaine ni l’équipage du navire n’avaient identifié le problème comme ayant une origine cyber. Il a fallu un temps important à un technicien dépêché sur place pour identifier que les deux réseaux ECDIS du navire étaient corrompus. Le coût de l’incident est estimé à plusieurs centaines de milliers de dollars (aux US).
  • Dans une zone maritime particulièrement dense, un navire a perdu tous ses moyens de navigation à la mer, qui plus est en conditions météos dégradées (mauvaise visibilité). Il a dû se limiter à la navigation au radar et à la carte papier pendant deux jours avant d’arriver au port. La défaillance de l’ECDIS est due à un système d’exploitation antédiluvien. Durant l’escale suivante, un intervenant a réalisé la mise à jour du système de navigation ECDIS. Mais, en raison de l’obsolescence avancée de l’OS, le nouveau logiciel n’a pas pu fonctionner : le navire a dû rester à quai jusqu’à ce que de nouvelles consoles ECDIS puissent être déployées, entraînant un retard et un impact financier important.
  • Toujours de l’ECDIS : en présence d’un pilote à bord, l’ECDIS et le VDR (Voyage Data Recorder, la “boite noire” du navire) dysfonctionnent, entraînant une certaine désorganisation de la passerelle. Heureusement, le capitaine et le pilote, expérimentés, ont pu ramener l’équipage sur une navigation par moyens dégradés (radar, veille optique). Quand les ordinateurs ont redémarré, clairement là-aussi obsolètes, le capitaine a fait savoir au pilote que ces problèmes étaient fréquents et que ses demandes d’intervention avaient été refusées par le propriétaire du navire.

Le reste du document commence à afficher une bien meilleure maturité que les éditions précédentes, que ce soit dans la gestion des risques, les relations entre les différents acteurs (propriétaire, armateur, équipage, sous-traitants, services logistiques en escale…), BYOD, la séparation IT/OT… Deux petites déceptions seulement :

  • une certaine vision “yaka” : mettre des pare-feux et des NIDS à bord, c’est sympa, mais encore faut-il que quelqu’un puisse les exploiter;
  • conséquence, ou cause, le secteur n’affiche pas encore une ambition suffisante sur la cybersurveillance maritime (désolé, c’est mon dada).

Bref, un “must read” !

Les super-yachts : une cible facile pour les pirates des temps modernes ?

Les nouveaux “superyachts” sont à la mode (même si je n’en ai pas personnellement) et, logiquement, ils n’échappent évidemment pas à la numérisation du secteur maritime, avec toute la puissance financière propre à ce secteur de l’ultra-luxe. Autant dire qu’il n’y a pas vraiment de limite.

Connexions satellites multi-opérateurs à très haut débit, relais GSM, 4G et plus, Wifi, vision du navire sous tous les angles à l’aide de webcams, système de distraction ultra-perfectionné, systèmes d’alarmes, passerelle et machine dernier cri, automatisation poussée, ces navires ne sont cependant pas conçus que pour le plaisir… La plupart des propriétaires et locataires de ces yachts y déportent une partie de leur entreprise : il faut donc voir le yacht comme une extension de celle-ci, mais bien souvent beaucoup plus vulnérable, à savoir sans tous les raffinements cyber que l’entreprise a (ou pas) et avec des caractéristiques du milieu maritime parfois mal connues par les RSSI.

Les informations personnelles sur l’équipage, l’emploi du navire, son propriétaire, ses habitudes peuvent donc être relativement faciles à obtenir pour suivre toute l’activité du navire et de ses hôtes de luxe (merci l’AIS). Mais c’est surtout la cyber-sécurité des hôtes (et du business sous-jacent) qui est en jeu.

Il n’y a donc guère 36 possibilités pour améliorer rapidement la sécurité de ces yachts :

  1. Il faut sensibiliser l’équipage, l’armateur ET les clients et passagers aux risques et aux bonnes pratiques.
  2. Une attention particulière doit être portée à ces navires en termes de cyber-protection, les deux principaux enjeux étant notamment la sécurité de la vie privée et des réunions commerciales qui pourraient se dérouler à bord et la protection du navire en lui-même, pour éviter toute prise en main à distance. Si vous suivez ce blog, vous avez déjà vu que certaines entreprises se sont spécialisées dans les solutions cyber pour les yachts.
  3. Idéalement, entraîner l’équipage du navire et l’armateur à détecter et réagir en cas d’évènement (mais pour cela encore faut-il les moyens de le détecter).

Dans l’actualité récente, plusieurs articles sont parus sur le sujet. En voici deux :

  • le lancement de la formation “Superyacht Cyber Training course” (SYCT) par JWC Superyachts. Cette formation, labellisée par le GCHQ (rien que ça) est une version spécialisée du cours “Maritime Cyber Security Awareness“. C’est un cours en ligne (avec ses avantages et ses inconvénients) qui répond avec un peu d’avance aux directives de l’IMO qui s’appliqueront en 2021, ainsi que les recommandations de BIMCO. Voir l’article sur superyachtsnews.com.
  • un article soulignant la crainte (donc la relative sensibilisation) des patrons de superyachts sur le risque d’être espionné à distance (en anglais).

Vous pourrez aussi retrouver deux articles plus anciens sur ce blog :