Véhicules maritimes autonomes et risques cyber

Nous avons déjà évoqué le sujet des véhicules maritimes autonomes dans plusieurs articles précédents, notamment dans le cadre des premiers essais de bacs autonomes en Finlande, dans un article relatif au futur de la marétique, et avons rappelé certaines références réglementaires qui commencent à émerger sur le sujet. On rappellera que, dans le contexte maritime, on trouve et on trouvera des UAV (Unmanned Aerial Vehicles), USV (Unmanned Surface Vehicles) et UUV (Unmmaned Underwater Vehicles). Sans voir ce type de “navires” autonomes partout à très court terme, ni systématiquement à long terme (leur emploi pour le transport de passagers ou de cargaison à haute valeur, ou pour la pêche, pose de nombreuses questions). Cependant, face à une certaine congestion, aux manoeuvres complexes (et souvent dangereuses pour l’homme), dans le contexte militaire, mais aussi par exemple pour des questions de sécurité en mer (prévention anti-collision ou échouage), un certain degré d’autonomie peut être souhaitable. Cependant, qui dit autonomie dit automatisation et, potentiellement, accès à distance et, dans tous les cas, nouveaux risques cyber à prendre en compte. Il serait dommage que, une nouvelle fois, le problème soit pris à l’envers et que l’on pense d’abord aux navires ou aux ports autonomes avant de penser à leur sécurité.

De ce côté-ci de la planète bleue, Rolls-Royce et Wärtsilä sont les deux entreprises du secteur maritime à investir et démontrer leur savoir-faire dans le domaine, que ce soit pour les remorqueurs, les bacs, et les navires autonomes de plus grande taille (cf ma chaîne Youtube pour quelques exemples futuristes ou actuels). Les grands enjeux de cybersécurité sur ces navires sont :

  • l’automatisation : le recours aux automates et à l’IA (vous l’attendiez 🙂 ) vont faciliter le travail au quotidien mais la réalisation automatique de tâches ou la prise de décision automatique posent de réels enjeux de cyber-sécurité, tant au niveau des capteurs (quelle confiance leur accorder), que de l’automate ou du processeur (quelle confiance leur accorder #bis), du programme ou de l’algorithme d’apprentissage utilisés et des données d’apprentissage (#ter), notamment. Côté capteurs, on se rappellera du sujet déjà évoqué des risques liés au positionnement, par exemple. Se poste aussi la question essentielle de la résilience à la mer face à une telle complexité de systèmes ;
  • l’intégration : l’autonomie repose beaucoup sur l’interconnexion de systèmes autrefois isolés (physiquement, logiquement, fonctionnellement) les uns des autres et le recours aux technologies type big data (vous l’attendiez aussi) pour faciliter l’orchestration du navire ;
  • le contrôle et la maintenance à distance : suivant le degré d’autonomie, l’autonomie peut être locale (le chef de quart enclenche le mode autonome, version améliorée du pilote automatique) ou distante (il n’y a plus personne en passerelle et le navire est contrôlé à distance pendant tout ou partie de sa mission). Pour des raisons évidentes de maintenance et de suivi (préventifs ou réactifs), le recours actuel à la maintenance à distance va se renforcer avec ce type de navire : les questions de disponibilité, d’intégrité, voire de confidentialité de ce lien vers la terre sont donc essentielles, d’autant plus que le lien support sera souvent partagé et reposera en grande partie sur Internet.

Les risques
En cas d’incident, les risques peuvent être multiples : armateurs, opérateurs portuaires (on peut même imaginer un cas complexe, en termes de responsabilité, d’un navire autonome accostant dans un smart port aidé par des remorqueurs autonomes : en cas d’accident, la preuve de responsabilité pourrait être complexe à obtenir). La particularité des systèmes autonomes est que, hormis pour des cas d’espionnage, par exemple, il y a de fortes chances pour qu’il ait un impact cyber-physique en cas de cyberattaque (sur l’environnement, le patrimoine, l’homme)…

Parmi les premiers risques liés aux véhicules autonomes, le fait qu’ils s’appuient sur des capteurs (GPS, AIS, éventuellement radar, voire carte numérique) qui peuvent être plus ou moins facilement trompés. Une attaque sur le positionnement (brouillage, mais surtout leurrage) pourrait avoir des conséquences directes et dramatiques pour un navire autonome dont la surveillance (distante) serait défaillante. Si, en plus, l’attaquant parvient à berner le navire et son contrôle à distance (un peu à la Stuxnet), la contre-mesure est bien difficile à mettre en oeuvre. En effet, ce type d’attaque a une conséquence directe : le navire évolue pour reprendre une position correcte : il corrige son cap, voire sa vitesse, de manière autonome à partir de l’information transmise par le capteur. Sans veille humaine, les conséquences pourraient donc être graves : collision avec un autre navire, échouage, collision avec une infrastructure portuaire… voire impossibilité de transit dans une zone critique (détroit…). On se rappelle des démonstrations réalisées par des chercheurs du Texas sur le sujet en… 2013 (déjà !).

Que faire ?

A titre personnel, je vois cinq axes d’effort :

  1. le rôle du régulateur (en l’occurrence l’OMI) qui doit impérativement fixer de hauts niveaux d’exigences pour les navires autonomes en matière de cybersécurité, notamment dans le partage / fusion des données issues de systèmes différents, la confiance dans les capteurs, l’intelligence artificielle (comment l’algorithme réagit en cas d’incohérence, de panne…), et le cloisonnement et la redondance des réseaux et capteurs.
  2. la sensibilisation des industriels et chantiers navals concernés qui auront un avantage concurrentiel à disposer d’une solution sécurisée par défaut sur ce type de navire du futur.
  3. les essais, tests et entraînements liés aux modes dégradés sur ces systèmes. L’objectif est d’en identifier les vulnérabilités en plateforme et dans le cadre d’un processus de certification, mais aussi tout au long du cycle de vie du navire.
  4. le renforcement des systèmes de la marétique et leur certification cyber avant déploiement sur ce type de navire autonome. Ce ne sera pas parfait, mais la surface d’attaque serait diminuée d’autant.
  5. la surveillance cyber de ces systèmes à distance.

A lire aussi :

Le guide du Cluster Maritime Français sur les drones maritimes.

Sources :

  • https://www.marinelink.com/news/autonomous-shipping-cyber-hazards-ahead-471587
  • Analyse personnelle

Les risques cyber liés aux moyens de positionnement par satellite

Contexte

Aujourd’hui, le coût modeste (quelques dizaines d’euros pour un récepteur de base), la miniaturisation et la grande disponibilité des récepteurs GPS nous permettent de penser que ce réseau nous est toujours acquis. Ces facilités ont aussi permis le développement du GPS dans de nombreux secteurs d’activités dont il était auparavant absent (on peut penser au secteur médical, au suivi des animaux de compagnie, le sport, l’agriculture, les… tondeuses domestiques, la photographie et les grues portuaires (sur ce sujet, lire aussi cet article…)). A tel point qu’il est difficile de donner un chiffre précis sur le nombre de récepteurs GPS de par le monde.

Ce qui est parfois oublié, c’est que le GPS n’est pas qu’une histoire de positionnement. Avec positionnement de précision, le GPS apporte aussi des informations horaire de grande précision. Ainsi, de nombreux pans de l’industrie reposent, parfois sans le savoir, sur la technologie GPS comme information de temps. Cette information de temps sera aussi de plus en plus importante avec l’arrivée de technologies comme la 5G qui nécessiteront une grande précision d’horloge.

Cependant, cette facilité d’acquisition de récepteurs GPS et le développement de la radio logicielle ont facilité le développement de solutions low cost de leurrage et de brouillage GPS : les techniques qui étaient auparavant uniquement accessibles au gouvernement se retrouvent aujourd’hui sur YouTube et le matériel sur Amazon pour quelques centaines d’euros. Résultat : le nombre de cas de leurrage ou de brouillage GPS augmente (voir ici pour quelques exemples) et les contre-mesures tardent à arriver.

GPS et monde maritime

Avec l’aviation, le secteur maritime est probablement un des secteurs le plus dépendant à la navigation par satellite (Global Navigation Satellite Systems, GNSS)). Le secteur est devenu d’autant plus dépendant que, face au caractère pratique des systèmes GNSS, il a abandonné progressivement les solutions historiques de positionnement hauturier, notamment celles liées à la radionavigation. Ce constat est notamment lié aux conventions SOLAS de l’IMO qui imposent le transport d’un récepteur GNSS par tout navire soumis à cette convention. Si 87% des navires marchands disposent d’un récepteur GNSS, c’est aussi l’industrie du nautisme et de la pêche qui assurent une croissance forte du secteur. Les systèmes GNSS se devenus le mécanisme par défaut d’élaboration de la position, de la vitesse et du cap du navire, remplaçant parfois d’autres équipements traditionnels (loch, compas), le tout étant fusionné dans des systèmes de cartographie type ECDIS (Electronical Chart Display Information System) et diffusé par AIS vers les autres navires (lire cet article récent sur un exemple dans le port de Shangaï).

En 2017, une étude mandatée par le gouvernement du Royaume-Uni évaluait l’impact financier sur l’économie maritime d’une perte globale de GNSS pendant 5 jours à 1,1 milliard de livres ! Ce chiffre s’explique notamment par l’impact sur le débarquement des containers dans les ports et la dépendance, déjà mentionnée supra, des grues de débarquement aux systèmes de positionnement par satellite et donc à l’incapacité durant cette période d’assurer l’embarquement et le débarquement de containers. L’impact lié au secteur maritime est cependant plus important, avec notamment des risques réels liés aux systèmes de télécommunication ou encore aux systèmes d’horodatage. La véritable difficulté étant effectivement la mesure de l’impact : on imagine mal réaliser un exercice – réaliste – de leurrage ou de brouillage GPS sur un port en activité.

Le monde maritime se veut cependant résilient : à bord, les équipages doivent pouvoir trouver une solution de contournement, comme le retour à des systèmes de navigation plus traditionnels, mais qui deviennent de moins en moins appris et pratiqués de manière régulière (quoique…). Face aux risques liés aux systèmes GNSS, l’US Navy est revenue en arrière (comme pour les écrans tactiles en passerelle) en réintégrant la navigation astrale qu’elle avait abandonné depuis les années 2000. Autre impact : si la position GNSS est indisponible, les impacts sur d’autres systèmes dépendant de la position (AIS, par exemple) et de l’heure (systèmes synchronisés par NTP) sont aussi importants : l’information de position des navires sur les ECDIS ne sont plus exactes, ce qui peut engendrer de véritables risques de collision ou d’échouage.

Contre-mesures

Comment prémunir toute tentative de leurrage ou de brouillage d’un système GNSS ?

  1. La dépendance des installations et de l’activité au GNSS (position ET système d’horloge) doit être clairement établie. La menace pouvant évoluer suivant la position du navire, certaines zones sont plus soumises à des risques que d’autres (par exemple les zones de conflit).
  2. Surveiller attentivement les sites d’alerte (les alertes de dysfonctionnement, de leurrage et de brouillage peuvent aussi être diffusées par Standard C, Avurnav ou NAVTEX, mais parfois trop tard).
  3. Envisager l’emport de systèmes de positionnement alternatifs (par exemple Glonass et GPS ou Galileo et GPS).
  4. Prendre en compte l’absence de positionnement dans les plans de continuité et de reprise d’activité (PCA/PRA).
  5. S’assurer que les équipages (et les armateurs et les ports) soient sensibilisés sur le sujet et sachent détecter, réagir et alerter en cas de dysfonctionnement d’un GNSS.
  6. Utiliser certaines antennes, comme les antennes CRPA, pour se prémunir des tentatives de brouillage. Elles commencent à être de plus en plus nombreuses sur le marché. Voir cet article de recherche et celui-ci sur leurs performances (le premier doc est marqué “propriétaire et confidentiel”, mais est indexé par les moteurs de recherche. Oups.)

Ah oui, j’ai parfois eu quelques questions sur “cyber/pas cyber” le risque lié au leurrage / brouillage GNSS. A partir du moment où cela peut avoir un impact sur un système d’information (en l’occurrence, l’ECDIS ou un système nécessitant une horloge précise), je m’y intéresse. Comme pour un incendie dans un datacenter 😉

Sources :

Les câbles sous-marins

Cela m’a toujours étonné, mais finalement assez peu de personnes connaissent bien le domaine des câbles sous-marins. Je ne parle pas seulement en termes de technologie, mais il est assez surprenant de constater que certains ignorent même jusqu’à leur existence. Il faut dire que, tapis, dans les profondeurs des océans, il est tentant de les oublier. Pourtant, ils permettent au quotidien le transit de 98% des communications téléphoniques et des transferts de données intercontinentaux. Sans eux, notre quotidien et notre économie seraient profondément bouleversés.

km

(Rapide) historique

Je n’aborderai pas le cas des câbles sous-marins servant principalement au transport de l’énergie électrique pour se concentrer sur ceux dédiés aux télécommunications. Le câble n’est pas une invention récente, puisque les premiers essais de transmissions télégraphique via câble sous-marin datent du milieu du XIXè siècle, avant une première exploitation commerciale de transmission d’ordre boursiers (déjà) entre la France et l’Angleterre. Le câble est cependant un équipement fragile à l’époque : sensible aux tremblements de terre, à de fortes pressions, au marées, et aux fonds parfois rugueux, ils n’ont qu’une espérance de vie limitée.

Il faut attendre la fin du XIXè siècle, et notamment la création de la Compagnie Française des Câbles Télégraphiques, pour que le premier câble longue distance (surnommé le “Direct” !) permette les communications sans relai entre la France (la station de Brest Déolen) et les États-Unis. Le développement des câbles se poursuit alors rapidement, début XXè, avec le déploiement de câbles entre l’Europe et l’Afrique, mais aussi à travers l’océan Pacifique. Les câbles, sur lesquels on exploite surtout la télégraphie, passent progressivement à l’utilisation de codes plus performants et adaptés, comme le code Baudot.

L’amélioration des technologies, comme l’emploi du câble coaxial et des répéteurs permettent alors d’envisager des télécommunications sur des distances beaucoup plus importantes, ainsi que l’acheminement des communications téléphoniques. Dans les années 1990, la fibre optique devient la technologie de référence : offrant des possibilités de multiplexage très avantageuses, elle décuple le nombre de circuits téléphoniques disponibles sur les câbles. Le cap symbolique du Gbit/s est franchi.

Le câble Sea-Me-We 3 (South-East Asia – Middle East – Western Europe) est mis en service le 23 août 1999. Câble à technologie optique, il relie l’Europe à l’océan Indien, le Japon et l’Australie. Long de 40 000 km, il reste aujourd’hui le plus long câble sous-marin en service, tout en restant compétitif (130 Gbit/s par paire de fibres optiques).

Mais qu’est-ce qu’un câble ?

Un câble sous-marin moderne est avant tout un support physique (vous vous rappelez, la fameuse couche 1 du modèle OSI). En l’occurrence, il permet de transmettre de la lumière (pour être plus précis, des longueurs d’ondes, donc des couleurs, différentes) à grande distance. On utilise des techniques de multiplexage en longueur d’onde (WDM, Wavelength Division Multiplexing) ou plus récemment SDM pour améliorer ses capacités en termes de débit.

Le câble sous-marin : une technologie à la fois simple et complexe. Les fibres optiques, (n°8 sur le schéma) sont protégées par de nombreuses couches de polyéthylène et d’acier, pour en assurer la solidité (crédit : Wikipédia)

Mais s’intéresser aux câble seuls n’est pas suffisant : il faut voir le système dans son ensemble, à savoir :

  • le concepteur du câble physique (en France, on peut citer Nexans)
  • les propriétaires des câbles (en France, Orange Marine)
  • les câbleurs (en France, Alcatel Submarine Networks, Orange Marine)
  • les navires câbliers , très reconnaissables (pour Orange Marine, citons le Pierre de Fermat, le René Descartes, le Léon Thévenin, le Raymond Croze) et pour Alcatel Submarine Networks : l’Île d’Aix, l’Île de Batz, l’Île de Sein, l’Île de Bréhat)
  • les sites d’atterrissage : en France, citons Lille (France-UK5), Dieppe (France-UK3), Cayeux (Circe South), Saint-Valéry-en-Caux (TAT 14, Cross Channel), Surville (Ingrid), Plérin (Flag Atlantic 1), Lannion (Apollo, HUGO), Penmarch (ACE, Sea-Me-We3), St Hilaire de Riez (Dunant), Le Porge (AMITIE, projet), Marseille (2Africa, AAE-A, Ariane 2, Atlas Offshore, Hawk, IMEWE, Med Cable Network, PEACE Cable, SeaMeWe-4, TE North/TGN-Eurasia/SEACOM/Alexandro/Medex), La Seyne (CC5), Toulon (Sea-Me-We5), Cannes (CC4), Île Rousse (CC4), Ajaccio (CC5), Saint Pierre et Miquelon (St Pierre and Miquelon cable), Sainte-Marie (La Réunion, Lower Indian Ocean Network), Saint-Paul (La Réunion, SAFE), Le Port (La Réunion, Meltingpot Indianoceanic Submarine System), Cayenne (Guyane Française, Americas II), Kourou (Kanawa, Ellalink), la Polynésie Française (Honotua, Natitua, Manatua), Nouvelle-Calédonie (Picot-1 et 2, Gondwana 1 et 2)
  • les stations de contrôle et de surveillance, qui sont chargées du suivi du bon fonctionnement des câbles, des liens SDN, du routage.
L’île de Bréhat, navire câblier d’Alcatel Submarine Networks (Wikipédia)

Les câbles : un enjeu politique et stratégique

Les océans comprenaient 448 câbles sous-marins en 2019, pour un coût par câble d’environ 700 M€ par câble. Représentant 50% des investissements des GAFAM, la “course au câble” est loin d’être une gageure : qui possède les câbles “possède”, quelque part, les données qui y transitent et dispose d’un pouvoir géopolitique certain. En effet, les coupures de câbles peuvent avoir des effets considérables sur les pays qui sont impactés (cela a été le cas pour l’Algérie, la Somalie notamment).

Parmi les autres risques liés aux câbles, il faut bien entendu évoquer les risques d’interception (certains stations d’atterrissage sont “connues” pour disposer de dispositifs de recopie dont on imagine bien la destination, certains pays disposeraient de sous-marins capables d’actions physiques sur les câbles), les risques de destruction physique (couper un câble dont on connait la position est, finalement, relativement simple). Enfin, les stations d’atterrissage sont des bâtiments très importants à protéger.

Quelques références sur le sujet :

Quelques CVE pouvant toucher spécifiquement le monde maritime

Attention, article jargonneux.

Voici une liste chronologique de vulnérabilités techniques touchant spécifiquement le monde maritime. La plupart des équipementiers réagissent rapidement et propose généralement des correctifs avant que les vulnérabilités ne soit publiées. Je ne liste bien sûr pas les vulnérabilités touchant les systèmes d’exploitation et le matériel “grand public”. N’hésitez pas à me faire savoir si vous disposez d’autres exemples.

Pour mémoire, une CVE, pour Common Vulnerabilities and Exposures, est un dictionnaire des informations publiques relatives aux vulnérabilités de sécurité soutenu par le département de la sécurité intérieure des États-Unis. Pour faire simple, une CVE c’est une vulnérabilité avec : un numéro unique, un score (je ne détaillerai pas ce point ici, ce serait un peu long), un produit concerné, une description plus ou moins technique de la vulnérabilité. Ces CVE sont connues (car publiées par le gouvernement US), mais rarement centralisées par domaine. L’objectif de leur publication ici est donc de faciliter le partage d’information du domaine maritime et la mise à jour des installations concernées.

N° CVEFabricantEquipementTypeLien
CVE-2020-8001IntellianIntellian Aptus 1.0.2 for AndroidMot de passe administrateur codé en durhttps://nvd.nist.gov/vuln/detail/CVE-2020-8001
CVE-2020-8000IntellianIntellian Aptus Web 1.24Mot de passe codé en durhttps://nvd.nist.gov/vuln/detail/CVE-2020-8000
CVE-2020-7999IntellianIntellian Aptus 1.0.2 for AndroidInformations sensibles encodées en durhttps://nvd.nist.gov/vuln/detail/CVE-2020-7999
CVE-2020-7980IntellianIntellian Aptus Web 1.24Exécution de commandes arbitraires à distancehttps://nvd.nist.gov/vuln/detail/CVE-2020-7980
CVE-2019-17269IntellianIntellian Remote Access 3.18Exécution de commandes arbitraires à distancehttps://nvd.nist.gov/vuln/detail/CVE-2019-17269
CVE-2018-19394CobhamSatcom Sailor 800 / 900Faille XSShttps://nvd.nist.gov/vuln/detail/CVE-2018-19394
CVE-2018-19393CobhamSatcom Sailor 800 / 900Accès à la configuration non protégéhttps://nvd.nist.gov/vuln/detail/CVE-2018-19393
CVE-2018-18392CobhamSatcom Sailor 250 / 500 < v1.25Réinitialisation possible d'un mot de passe sans connaissance préalablehttps://nvd.nist.gov/vuln/detail/CVE-2018-19392
CVE-2018-18391CobhamSatcom Sailor 250 / 500 < v1.25Faille XSShttps://nvd.nist.gov/vuln/detail/CVE-2018-19391
CVE-2018-16705FurunoFURUNO FELCOM 250 et 500Accès et changements de mots de passe admin sans authentificationhttps://nvd.nist.gov/vuln/detail/CVE-2018-16705
CVE-2018-16591FurunoFURUNO FELCOM 250 et 500Changement du mot de passe admin sans authentificationhttps://nvd.nist.gov/vuln/detail/CVE-2018-16591
CVE-2018-16590FurunoFURUNO FELCOM 250 et 500Authentification côté clienthttps://nvd.nist.gov/vuln/detail/CVE-2018-16590
CVE-2018-5728CobhamCobham Sea Tel 121 build 222701Accès à des informations sensibles sans authentificationhttps://nvd.nist.gov/vuln/detail/CVE-2018-5728
CVE–2018-5402Auto-MaskinDCU-210E, RP-210E, Marine Pro Observer Android AppTransmission d'informations en clairhttps://nvd.nist.gov/vuln/detail/CVE-2018-5402
CVE–2018-5401Auto-MaskinDCU-210E, RP-210E, Marine Pro Observer Android AppTransmission d'informations en clairhttps://nvd.nist.gov/vuln/detail/CVE-2018-5401
CVE–2018-5400Auto-MaskinDCU-210E, RP-210E < v3.7Utilisation d'un protocole non sécuriséhttps://nvd.nist.gov/vuln/detail/CVE-2018-5400
CVE–2018-5399Auto-MaskinDCU-210E, RP-210E < v3.7Identifiants SSH codés en durhttps://nvd.nist.gov/vuln/detail/CVE-2018-5399
CVE-2018-5267CobhamCobham Sea Tel 121 build 222701Accès sans authentificationhttps://nvd.nist.gov/vuln/detail/CVE-2018-5267
CVE-2018-5266CobhamCobham Sea Tel 121 build 222701Accès des informations sensibles sans authentification, mots de passe en clair dans la documentationhttps://nvd.nist.gov/vuln/detail/CVE-2018-5266
CVE-2018-5071CobhamCobham Sea Tel 116 build 222429Faille XSShttps://nvd.nist.gov/vuln/detail/CVE-2018-5071
CVE-2016-9339INTERSCHALTVDR G4e Versions < 5.220Accès à des informations sensibles sans authentificationhttps://nvd.nist.gov/vuln/detail/CVE-2016-9339
CVE-2014-2941CobhamCobham Sailor 6000Identifiants stockés en clairhttps://nvd.nist.gov/vuln/detail/CVE-2014-2941
CVE-2014-2940CobhamCobham Sailor 900 and 6000Identifiants stockés en clairhttps://nvd.nist.gov/vuln/detail/CVE-2014-2940
CVE-2014-0328Cobham*Absence de contrôle d'intégrité des micrologicielshttps://nvd.nist.gov/vuln/detail/CVE-2014-0328
CVE-2013-7180CobhamCobham SAILOR 900 VSAT; SAILOR FleetBroadBand 150, 250, and 500; EXPLORER BGANAccès à des droits d'administration sans authentificationhttps://nvd.nist.gov/vuln/detail/CVE-2013-7180

Conférence CLUSIF : #Panocrim 2018 – Des attaques au cœur des métiers – Transport maritime

A l’occasion de la conférence du CLUSIF Panocrim 2018, AturysCS dresse un rapide panorama des menaces pesant sur le secteur maritime. Au programme : les vulnérabilités SATCOM et un aperçu des risques liées à la prise de contrôle de systèmes industriels.

Retrouvez l’intervention complète ci-dessous.

https://clusif.fr/content/uploads/2019/01/03_Des-attaques-au-c%C5%93ur-des-m%C3%A9tiers-Transport-maritime_THOMAS.pdf

Les évènements redoutés en marétique

Une analyse de risques très succincte et “macro” permet d’identifier quelques évènements redoutés pouvant toucher le secteur maritime. Je ne les détaille pas de manière exhaustive, mais en voici une idée :

  • des tentatives d’usurpation ou de brouillage des systèmes de positionnement ou de communication, soit sur le navire visé, soit sur son environnement
  • des dérèglements ou pertes de disponibilité des systèmes de cartographie ECDIS (même s’ils sont souvent redondés)
  • une diffusion de fausses informations de sécurité vers le navire (SMDSM, AIS, météo…)
  • des intrusions visant spécifiquement les systèmes industriels à bord des navires
  • une prise en main à distance du navire ou d’une partie de ses systèmes
  • un chiffrement complet ou partiel de ses systèmes d’information à l’aide d’un rançongiciel

Les ports ne sont à l’abri non plus, avec :

  • une tentative de paralysie (rançongiciel)
  • là aussi, une prise en main à distance du smart port en exploitant l’interconnexion croissante entre les systèmes
  • la modification des systèmes d’information logistiques des ports (mouvement des navires, des passagers, du fret ou des moyens de manutention et de transport)
  • la désorganisation de la disponibilité des services portuaires (pilotage, avitaillement…) et la disponibilité des quais et des aires de stockage, etc.

Les sources de menace pouvant viser le secteur maritime

Qui peut en vouloir à la marétique ?

Les sources de menace (volontaires, cagoulées) sont assez proches de ce qui peut être trouvé par ailleurs. Je ne vais pas vous refaire une liste à la Prévert des sources de menaces possible, l’ANSSI l’a déjà fait (cf p. 15 et suivantes). Les plus réalistes sont aujourd’hui :

  • les “hackers” du dimanche, ayant vu des vidéos de chercheurs lors de conférences en cyber et essayant de reproduire les preuves de concept
  • la concurrence (et oui, on ne peut pas totalement le nier, ou du moins le prendre en compte)
  • les organisations terroristes / de piraterie, qui pourraient y trouver un intérêt pécunier
  • l’infection “collatérale”, c’est-à-dire ne visant pas spécifiquement le secteur maritime, mais dont il est victime comme d’autres (c’est généralement le cas des rançongiciels)

On se rappelle que le “vecteur” cyber a plusieurs avantages : il est généralement anonyme, anomique, et les attaques ont une relative fulgurance et relativement rentable (surtout pour quelqu’un qui n’a qu’à cliquer sur sa souris…).

N’oublions pas les sources non volontaires, qui regroupent principalement deux types d’acteurs :

  • la menace interne, involontaire (par exemple un capitaine qui branche son téléphone portable “intelligent” perso sur le poste de l’Intranet de sa société dans sa cabine sur son navire (il se reconnaîtra !))
  • les interventions extérieures (maintenanciers, concepteurs) qui peuvent avoir une hygiène et une conscience des risques cyber… variées.

Au-delà de ces deux sources de menaces, que l’on a tendance à sur-médiatiser (au moins pour les 4 premières), il ne faut pas oublier les sources de menace involontaires (incendies, avarie, etc…) qui peuvent être tout aussi redoutables mais, parfois, négligées au profit de menaces plus précises.

Les incidents (connus…)

Cet article liste une cinquantaine d’incidents publics ayant impacté, délibérément ou non, le secteur maritime au cours des vingt dernières années. Il ne se veut pas exhaustif, mais n’hésitez pas à me faire savoir si vous disposez d’autres informations (publiques et corroborées !). L’idée n’étant pas de montrer une entreprise ou un état du doigt, mais de vous sensibiliser aux incidents ayant déjà eu lieu, et leurs conséquences lorsqu’elles sont connues. J’en rajouterai d’autres à l’occasion. Les attributions et les sources sont à prendre avec des pincettes, comme toujours, de même que l’augmentation du nombre public d’incidents. J’y inclue progressivement aussi les coupures de câbles sous-marins.

Pourquoi est-il aussi difficile d’obtenir une vision exhaustive des incidents ?

  1. Parce que leur déclaration (publique ou non) n’est pas obligatoire dans de nombreux pays, et qu’il n’y a souvent pas d’organisme centralisateur.
  2. Parce que ça fait chuter l’action et l’image de l’entreprise.
  3. Parce que l’acception de cyberattaque varie (certains considèrent un ping d’une adresse IP inconnue comme une cyberattaque). Le Grand port maritime de Marseille indiquait ainsi être l’objet de 11 000 cyberattaques par semaine.
  4. Parce que évènement cyber ne veut pas dire cyberattaque (une interruption de service liée à une perte informatique est pourtant un incident de cybersécurité).

Attention aussi aux raccourcis : un chercheur qui montre des vulnérabilités ne veut pas systématiquement dire que c’est un pirate et qu’il l’a fait “pour de vrai”. Et il y a aussi de nombreuses approximations et raccourcis. Dans la marétique, voici un bel exemple parmi d’autres, parfaitement analysé.

2020 :

2019 :

2018 :

2017 :

  • 29/11 : l’entreprise britannique Clarkson, acteur majeur du monde maritime outre-Manche, est victime d’une cyberattaque. L’accès à distance aux serveurs de la compagnie a été été rendue possible par l’utilisation d’un compte d’accès qui a ensuite été désactivé. Peu d’informations ont été communiquées sur le volume de données qui ont pu être exfiltrées. L’entreprise a émis par la suite un nouveau communiqué, analysé ici.
  • 26/10 : la société IOActive émet une alerte relative à une vulnérabilité sur certains terminaux par satellite de la société Inmarsat (identifiants codés en dur, injection SQL). Pas d’information sur l’exploitation de cette vulnérabilité. Voir la réponse d’Inmarsat.
  • 16/10 : une campagne de cyberattaque vise le monde maritime et de la défense, aux États-Unis et en Europe de l’ouest. L’organisation à l’origine de la campagne de harponnage, appelée Leviathan, s’intéresse de longue date au secteur maritime, à celui de la défense, et notamment à la construction navale.
  • Juillet : la société “BW Group”, acteur majeur de l’industrie pétrolière, est victime d’une cyberattaque. Il s’agit a priori d’un accès à distance, et non d’un rançongiciel.
  • Juillet : le câble sous-marin Eastern Africa Submarine System (EASSy), unique câble raccordant la Somalie au reste du monde, est coupé pendant trois semaines après qu’un porte-containers l’ait involontairement coupé. Coût estimé des pertes économiques : 9 M€ par jour (la moitié du PIB journalier du pays).
  • 13/07 : le roulier Siem Cicero est victime d’une avarie de barre et s’échoue dans la rivière Ems (en Allemagne) après avoir dévié de sa route. L’origine de l’avarie est liée à une erreur logicielle. Deux remorqueurs ont été dépêchés pour rapatrier le navire dans le port d’Emden. Diverses vérifications menées par des plongeurs n’ont pas mis en avant d’impact sur la coque. L’erreur logicielle (de conception, le navire ayant été lancé dix jours auparavant seulement) a été corrigée et le navire a ensuite pu reprendre sa route vers Halifax.
  • 30/06 : le port de Rotterdam est à son tour touché par NotPetya. Même si ce n’est pas clairement précisé, on pense à Maersk. A noter que le port de Rotterdam a une belle initiative, celle d’avoir créé un responsable de la cybersécurité du port et une hotline.
  • Juin : l’armateur Maersk, est victime du ver informatique NotPetya, qui a touché de nombreux pays et entreprises de par le monde. Les conséquences pour le célèbre armateur ont été importantes : les ports de Rotterdam, New York, Mumbai et d’Argentine ont été fermés, en raison de l’impossibilité d’embarquer des containers. Les pertes sont estimées à 300 M$. L’armateur a du réinstaller la bagatelle de 4 000 serveurs, 45 000 PC… en allant jusqu’à chercher une copie de son Active Directory au… Ghana en jet privé… L’action, en bourse, a temporairement perdu 15%. Lire également cet article sur la situation vécue de l’intérieur.
  • Mai : le groupe APT.32 mène depuis plusieurs années (2014 ?) des campagnes d’attaques visant notamment le secteur naval. Doux nom de code de l’opération : Ocean Lotus.
  • 69% des armateurs danois ont été touchés par un évènement cyber au cours de l’année 2017.

2016 :

  • Avril (encore) : les autorités de Corée du Sud font rentrer quelques 280 navires à quai après qu’ils aient constaté des difficultés majeures avec leurs systèmes de navigation (brouillage/leurrage GPS ?).
  • Avril : Daewoo Shipbuilding est victime d’une cyberattaque : exfiltration de données sensibles, notamment des plans de navires de guerre. La Corée du Nord est montrée du doigt.
  • 02/03 : le centre anti-piraterie du Golfe de Guinée ((Maritime Trade Information Sharing Center, Gulf of Guinea (MTISC-GoG)) est touché par une faille a priori exploitée pour du vol de données. Information donnée par le Maritime Executive, mais démentie par le centre.
  • Les services administratifs du port d’Oakland sont touchés par une attaque en déni de service. Peu d’informations officielles.
  • Un armateur fait l’objet d’une cyberattaque sur plusieurs mois, permettant aux pirates d’identifier des containers d’intérêt et d’en détourner le contenu.
  • Des adresses de courriel d’un affréteur sont piratées. Les fonds normalement virés pour payer l’agent ont en fait été versés vers un compte bancaire au Nigéria. Le navire a été retenu au port car l’agent n’avait pas reçu à temps les fonds nécessaires pour autoriser le départ du navire du port.
  • Des adresses de courriel d’un agent sont piratées. Un courriel est envoyé à l’armateur pour réaliser un virement vers un nouveau compte bancaire. L’armateur ne vérifie pas et réalise le virement. La perte totale est de 500 000$ (deux virements ont donc été nécessaires !).
  • Voir l’enquête réalisée par IHS et BIMCO sur les incidents cyber de l’année au sein du secteur au cours de l’année 2016.

2015 :

  • Octobre : l’entreprise bretonne Sabella qui est touchée. Son hydrolienne, immergée à 55 mètres à proximité de l’île d’Ouessant, a dû être stoppée pendant près de 15 jours, suite à une attaque par rançongiciel (encore) sur l’ordinateur de contrôle de l’hydrolienne. Cet ordinateur assurait la liaison satellitaire entre l’hydrolienne et la ville de Quimper. Cependant, l’hydrolienne était encore en phase de tests et l’incident n’a donc pas eu d’impact sur l’approvisionnement électrique de l’île d’Ouessant. La rançon, dont on sait qu’elle était d’un montant de 4 000 $, n’a pas été réglée par l’entreprise (ce qui est une bonne chose et conforme aux recommandations de l’ANSSI sur le sujet). Les quinze jours d’interruption s’expliquent donc par la durée nécessaire à la restauration du système (c’est long !).
  • Août : des criminels dérobent environ 644 000$ à un armateur chypriote, basé à Limassol. La compagnie a reçu un courriel provenant d’un fournisseur pétrolier situé en Afrique, demandant à ce que l’argent prévu soit viré sur un autre compte que le compte habituel. La compagnie accepta, pour s’apercevoir, avec retard, de la fraude.
  • Une unité mobile de forage offshore (Mobile Offshore Drilling Unit) a été infectée par un code malveillant, qui a impacté le système de positionnement dynamique, nécessitant la mise en place d’une procédure d’urgence pour éviter un accident.

2014 :

2013 :

2012 :

  • Septembre : sous les doux noms de Sneaky Panda, The Elderwood Gang. The Beijing Group, on trouve une même tentative de cyberattaque visant essentiellement les États-Unis, et notamment le secteur naval, essentiellement par harponnage.
  • Août : la compagnie pétrolière Saudi Aramco fait les frais du code malveillant Shamoon. Le contenu de plus de 35 000 ordinateurs a été purement et simplement effacé. 5 mois de reconstruction. La compagnie, incapable de facturer le pétrole quittant ses raffineries, a dû en laisser partir gratuitement. Elle a également causé une pénurie temporaire en disques durs, car elle en a commandé 35 000 d’un coup !

2011-2013 :

Piratage sur deux ans du port d’Anvers où des trafiquants de drogue réussissent à détourner le fonctionnement du système d’aiguillage des conteneurs à leur profit pour éviter que les conteneurs transportant de la drogue ne soient contrôlés par les douanes.

2011 :

  • 13-14/12/2011 :  arrêt des transactions commerciales sur port de Rotterdam, en raison d’un arrêt du système d’information des Douanes. Impossibilité de faire appareiller les navires et de faire quitter les camions du port.
  • 19/09 : le plus important industriel de défense japonais, Mitsubishi Heavy Industries Ltd, est l’objet d’une cyberattaque, ayant eu pour conséquence un accès aux ordinateurs de l’entreprise. L’entreprise a reconnu dans un communiqué que des informations pourraient avoir été volées à cette occasion. Le journal Yomiuri parle de 80 ordinateurs infectés par un code malveillant au siège tokyoïte de l’entreprise, ainsi que dans des sites de conception et de recherché, notamment les chantiers navals de Kobe et Nagasaki, ainsi qu’à Nagoya. Le chantier naval de Kobe construit de sous-marins et des composants de centrales nucléaires, celui de Nagasaki des navires de surface. Quant à Nagoya, l’usine fabrique des missiles et des fusées.
  • Août : l’armateur iranien IRISL a été victime d’une cyberattaque. Peu de détails, mais les pertes auraient été très importantes (perte de données, pertes financières…).
  • Mai : un pirate revendique un accès à certains serveurs du département de la marine américaine.

2010 :

  • une plateforme pétrolière, transférée de son site de construction en Corée du sud vers son site d’exploitation a été compromise par plusieurs codes malveillants. La plateforme a dû être arrêtée pendant 19 jours le temps de traiter les codes, qui a priori ont touché des systèmes sensibles de la plateforme.

2009 :

  • Mars : un ancien employé pirate des plateformes offshore de son entreprise en guise de représailles. Des milliers de dollars de dégâts, mais fort heureusement pas d’impact environnemental.
  • 12/01 : le réseau interne de la Marine nationale française est touché par le virus Conficker. Le nécessaire traitement de la diffusion du code malveillant nécessite l’isolement de plusieurs sous-réseaux du système.

2006 :

2002 :

  • Avril : un groupe de pirates informatiques se faisant appeler “Dymanic Duo” parvient à s’introduire dans des systèmes informatiques du commandement de l’U.S. Navy (parmi d’autres). Les pirates réalisent un défaçage du site de l’U.S. Navy, pour montrer les failles dans la sécurité du site. Un industriel de défense développant un site web pour l’U.S. Navy éteint son réseau après que les pirates aient eu notamment accès aux mots de passe des employés. Les page du site font là aussi l’objet d’un défaçage, de l’information est rendue publique et des messages revendiquent à nouveau l’action sous le nom de “Dynamic Duo”.

1998 :