COVID-19 : 400 % d’augmentation des tentatives de cyberattaques dans le monde maritime

Le site offshore-energy.biz rapporte que le nombre de tentatives de cyberattaques dans le monde maritime aurait augmenté de 400 % depuis le février 2020. Ce chiffre s’expliquerait notamment par le recours massif aux outils de télétravail pendant la pandémie du COVID-19.

Ce chiffre a été cité par Naval Dome, une entreprise israélienne de cybersécurité dont nous avions déjà parlé sur ce site, notamment ici. Dans ces 400% d’augmentation, Naval Dome voit notamment une augmentation du nombre de codes malveillants en tous genres, dont les rançongiciels, mais aussi des tentatives d’hameçonnage/phishing, le tout dans un contexte où les règles de distanciation sociales, les restrictions de déplacement et les difficultés économiques limitent les capacités de protection des entreprises du secteur.

Le CEO de Naval Dome, Itai Sela, précise notamment “Les restrictions liées au COVID-19, et notamment la fermeture des frontières, ont contraint les équipementiers, techniciens et vendeurs à connecter des équipements isolés à Internet pour en assurer la maintenance.” Les techniciens ne peuvent ainsi pas assurer la maintenance des navires ou plate-formes pour mettre à jour et assurer la maintenance de systèmes OT (Operational Technology) critiques, les rendant ainsi plus vulnérables à des attaques. “En raison des coupes dans les budgets et de l’absence de maintenance sur site, nous voyons de plus en plus de navires et de plate-formes offshore connecter leurs systèmes OT aux réseaux à terre pour en assurer des diagnostics à distance et réaliser des mises à jour.“, cette connexion signifiant souvent la levée du cloisonnement entre systèmes IT et OT. “L’augmentation du nombre d’opérateurs de maintenance travaillant à distance, à partir de leurs réseaux et ordinateurs personnels, parfois mal protégés, s’ajoute à ce problème.” Sela ajoute que, sur les trois premiers mois de 2020, les attaques visant les télé-travailleurs ont été multipliées par 10, McAfee voyant même une augmentation de 630 % du nombre de tentatives dans le cloud entre Janvier et Avril 2020.

La récession économique et la baisse du prix du brut ont des effets importants sur les compagnies pétrolières qui diminuent en conséquence les investissement nécessaires en cyber-sécurité.

Webinaire sur le Mastère Spécialisé “Cybersécurité des systèmes maritimes et portuaires”.

Vendredi 12 juin aura lieu un webinaire de présentation du Mastère Spécialisé “Cybersécurité des systèmes maritimes et portuaires”. Une occasion unique d’échanger sur cette formation unique en Europe : recrutement, débouchés, contenu de la formation… on vous dira tout !

Pour les inscriptions, c’est ici : https://www.imt-atlantique.fr/fr/l-ecole/evenements/webinaire-mastere-specialise-cybersecurite-des-systemes-maritimes-et-portuaires

L’Estonie reçoit 2,5 M€ de l’Union européenne pour créer un centre cyber maritime

Le centre d’investigation numérique et de cybersécurité de l’Université de technologie de Tallinn (TalTech) et l’École maritime estonienne ont obtenu un financement de l’Union européenne de presque 2,5 M€ pour la création d’un centre de cybersécurité maritime.

Dan Heering, l’un des chefs de projets à l’École maritime estonienne précise que “l’industrie maritime n’a jamais pris les questions de cybersécurité au sérieux, et il y a encore beaucoup de travail à réaliser dans ce domaine. Comme il y a peu d’information publiquement disponibles sur les cyberattaques ayant réussi et les incidents concernant les navires, les armateurs ne prennent pas les menaces au sérieux.”

On rappellera qu’une liste publique d’évènements existe. Elle est bien sûr incomplète, par définition. Et elle est ici.

Il ajoute que, lors de son stage de master 2, il avait surpris de constater que la plupart des armateurs étaient indifférents à ce problème : “C’est lié à un manque de réglementation qui obligerait les armateurs à prendre en compte et réduire les risques cyber et entraîner leurs équipages. Cependant, dès janvier l’année prochaine, les armateurs devront prendre en compte ces risques cyber dans leur documentation de gestion des risques”.

L’Université ajoute sur son site Internet que ce manque d’intérêt actuel par les armateurs peut également s’expliquer par un manque de sensibilisation à la menace et aux dommages potentiels qu’une cyberattaque réussie pourrait entraîner. Les armateurs considèrent également la gestion des risques cyber comme une dépense plus qu’un investissement. Cependant, d’après Dan Heering, plusieurs incidents ont été rendus publics lors des dix dernières années. En 2019, un navire en route pour New York a ainsi dû prendre contact avec les gardes-côtes américains suite à une infection virale à bord. Cette infection avait atteint les systèmes du navire de manière significative, réduisant sa capacité à manœuvrer en toute sécurité. En 2017, l’expert en cyber-criminologie Campbell Murray, démontrait qu’il était possible de prendre contrôle sur un navire utilisant des technologies modernes à l’aide d’un ordinateur portable. 30 minutes ont été suffisantes au professionnel pour s’introduire sur le réseau Wi-Fi du navire et accéder à des courriers électronique, les effacer et même les éditer. Campbell Murray a même réussi à obtenir un accès aux données financières du propriétaire du navire, mais aussi aux caméras de sécurité, au lien satellite et aux systèmes de navigation. Techniquement, il lui était ainsi possible de faire appareiller le navire.

D’après Olaf Maennel, professeur en cybersécurité au centre d’investigation numérique et de cybersécurité, les responsables des armateurs ne sont toujours pas conscients des nuages qui s’amoncellent autour de leur activité. Les navires dépendent de plus en plus de la technologie et d’Internet, avec les cartes électroniques et les manifestes mis à jour de manière électronique, et l’utilisation de plus en plus large des communications par satellite. “Cela signifie que les ordinateurs du navire sont vulnérables et que les dommages potentiels pour les grandes compagnies pourrait se chiffrer en centaines de millions d’euros”, précise-t-il.

Il estime également que le nombre de machines autonomes connectées les unes aux autres va augmenter de manière très significative dans un futur proche. Il est donc nécessaire d’établir les protocoles de communication résistants aux cyberattaques et d’augmenter le niveau de sensibilisation et de préparation des équipages aux incidents cyber. Le futur centre de cybersécurité maritime a ainsi pour objectif de développer des programmes de formation doctorale et de niveau master, d’organiser des conférences et des évènements. Ainsi, les étudiants se préparant à une carrière embarquée au sein de l’École maritime estonienne recevront, pour la première fois l’année prochaine, une formation dédiée à la cybersécurité et à la gestion des risques.

Pour la petite histoire, à l’automne 2019, les deux organismes ont soumis une demande de financement auprès de l’Union européenne dans le cadre du programme H2020 “ERA Chairs”. L’objectif de ce programme est d’aider les universités et les autres organismes de recherche des régions de “convergence” et de la “périphérie” de l’Union européenne à améliorer leur compétitivité pour l’obtention de financements dans la recherche.

On se rappelle que l’Estonie a été victime d’une vague importante de cyberattaques en 2007 et a, par la suite, beaucoup investi sur le sujet. Conséquences directes : la rédaction du fameux “Manuel de Tallinn“, véritable guide sur l’application de la loi internationale dans le cyberespace, et implantation en Estonie du centre d’excellence de l’OTAN sur les questions de cyberdéfense, le (réputé) CCDCOE (Cooperative Cyber Defence Centre of Excellence).

L’agence spatiale européenne finance la recherche sur les risques liés aux systèmes de positionnement par satellite.

Nous avons déjà parlé à plusieurs reprises : les risques liés aux systèmes de positionnement et de suivi des navires par satellites sont nombreux. C’est dans ce cadre que l’Agence spatiale européenne (European Space Agency, ESA) a annoncé récemment financer une étude de faisabilité sur le développement d’une solution pour la sécurisation de ces systèmes.

L’ESA a passé un contrat avec la société suisse CYSEC SA pour identifier les solutions qui permettraient de sécuriser les services de suivi et de positionnement par satellite pour le monde maritime. Les risques, qui passent essentiellement par le leurrage et le brouillage de systèmes de positionnement par satellite (GNSS), comme nous l’avions vu ici. C’est parfois moins connu, mais les données AIS (Automatic Identification System) peuvent également transiter par satellite. On parle alors de S-AIS ou SAT-AIS. Il suffit de regarder, par exemple sur Marine Traffic, le nombre de positions AIS reçues par satellite pour en être convaincu.

Les données issues de l’AIS et les signaux GNSS reçus par satellite sont indispensables pour permettre aux navires d’aujourd’hui et de demain de naviguer en toute sécurité, notamment dans les détroits et les zones dangereuses. Elles le sont également pour les armateurs, les assureurs et les autorités à terre qui les exploitent à des fins de suivi d’activité et de détection d’anomalie et de secours en mer. Pour autant, le nombre d’incidents de brouillage et de leurrage GNSS augmente fortement au cours des années, ce constat ayant récemment poussé les Etats-Unis à le porter à l’attention de l’Organisation Maritime Internationale (OMI).

L’objectif de l’étude est donc de travailler à la fois sur la sécurité GNSS et celle du lien S-AIS. Je referai un article sur le sujet si les compte-rendus de l’étude sont publics. Nul doute qu’on y verra (espérons !) de la cryptographie sous toutes ses formes, de la mesure de qualité des capteurs et de la détection d’anomalies !

Cybercriminalité maritime, de la mer à l’Internet, focus sur la nouvelle piraterie

Je vous invite à lire l’article “Cybercriminalité maritime, de la mer à l’Internet, focus sur la nouvelle piraterie”, paru sur le site BLL Consulting. Dans cette article, l’auteur dresse un portrait complet de la cybercriminalité dans le monde maritime sous ses différents aspects, en dressant un parallèle avec les “pirates” qu’a pu connaître ou connaît encore le secteur maritime.

“Le Cyber, domaine particulier de la pensée navale”, par N. Mazzucchi

Le Centre d’études supérieures de la Marine nationale (CESM) propose dans sa revue “Études marines – Stratégie” n°17 (page 82) un article de Nicolas Mazzucchi, docteur et chargé de recherches à la Fondation pour la recherche stratégique (FRS) intitulé “Le cyber, domaine particulier de la pensée navale”.

Dans cet article, l’auteur rappelle que, si la prise en compte du sujet par la communauté maritime a été relativement tardive, la question de la cybersécurité des navires et des ports est de plus en plus fréquemment traitée lors de différentes conférences, soulignant l’importance de ce sujet stratégique face à la numérisation progressive du secteur, que l’on parle de navires civils ou militaires.

Au niveau militaire, cette question est, d’après l’auteur, renforcée par le besoin important de capacités de combat en réseau. Il est vrai que, même si on en parlait déjà dans les années 90 (C3, C4), l’augmentation des débits satellite et de la connectivité a permis de répondre à un véritable enjeu de communication, que ce soit au sein d’un groupe constitué (comme le groupe aéronaval) que vers les flottes alliées ou les état-majors à terre, offrant de nouvelles capacités militaires… tout en ajoutant de nouvelles menaces.

On associe donc le cyber, au sens large, à un nouveau domaine de lutte transverse qui irrigue le milieu maritime et ses autres milieux (physiques, quant à eux : sous la mer, sur la mer, au-dessus de la mer, espace), mais aussi à un semble de technologies permettant une mutation assez inédite du secteur, y compris vers le futur et l’arrivée des navires autonomes.

L’auteur aborde ensuite sur le navire sous l’angle d’un “système d’information complexe multi-capteurs, sorte d’usine connectée sur mer”, où se rejoignent systèmes de communication, systèmes de combat, capteurs et actionneurs, la composante numérique apportant également de nouveaux aspects intéressants, comme la maintenance prédictive, facilitée par l’augmentation du nombre de données disponibles, y compris sur des installations cyber-physiques.

Une projection dans le futur est ensuite réalisée, avec l’arrivée des nouveaux capteurs et actionneurs déportés, apportés par les nouvelles générations de véhicules autonomes de surface, sous-marins, ou aériens, qui seront un atout capacitaire indéniable dans la projection de force et le renseignement.

Enfin, l’auteur insiste sur les risques liés à la multiplication de nouveaux protocoles et systèmes, qui peuvent venir contrecarrer ces nouvelles capacités, à l’obsolescence “programmée” et au maintien en conditions de sécurité complexes et sur la possibilité d’une fusion des domaines cyber et guerre électronique au niveau tactique naval.

Lancement d’un produit d’assurance spécifique aux risques cyber maritimes

Dans un communiqué de presse, l’assureur Willis Towers Watson annonce le lancement d’un nouveau produit d’assurance spécifiquement dédiés aux risques de cybersécurité dans le monde maritime. L’objectif de ce produit est de répondre à l’imparfaite couverture du risque cyber dans la plupart des contrats d’assurance, et de faire face à la multiplication des évènements cyber dans le monde maritime.

L’assurance semble couvre plusieurs cas, notamment : gestion de crise en cas de rançongiciels, vol de données, incidents relatifs à des tiers, perte de connectivité suite à des attaques sur le lien satellite, cas liés RGPD et NIS.

Une petite vidéo proposée par l’assureur (je n’ai pas d’actions) :

Les gardes-côtes américains de nouveau à la manœuvre sur les sujets de cybersécurité maritime

Les gardes-côtes américains (US Coast Guard (USCG)) sont régulièrement à la manœuvre sur les sujets liés à la cybersécurité maritime. On les avait vus récemment intervenir sur un navire objet d’un incident cyber ou encore évoquer l’impact du rançongiciel Ryuk sur un acteur maritime US. Ils évoquent par ailleurs fréquemment, dans leurs bulletins de sécurité, les sujets relatives à la menace cyber dans le contexte maritime. Dans une nouvelle circulaire, consultable ici, les gardes-côtes américains proposent de nouvelles lignes directrices pour lutter contre les menaces cyber pour les installations et unités sous leur responsabilité.

Cette circulaire, appelée Navigation and Vessel Inspection Circular (NVIC) 01-20, “Guidelines for addressing cyber risks at Maritime Transportation Security Act (MTSA) regulated facilities“, passe cependant à la vitesse supérieure, dans la perspective de mise en application des directives de l’OMI à compter du 1er janvier 2021, ne serait-ce que par son titre “Inspection Circular“, qui prépare ls esprits au caractère prochainement obligatoire de certaines recommandations. Les entités concernées doivent notamment évaluer et documenter les vulnérabilités de leurs systèmes d’information dans un document appelé Facility Security Assessment (FSA) et les traiter dans un document listant un plan d’actions, le Facility Security Plan (FSP).

Les USCG précisent que ces lignes directrices ne sont là que pour apporter plus de clarté par rapport à la réglementation existante, qu’elles ne la change pas, et qu’elles n’imposent pas non plus de nouvelles exigences. Libre aux responsables des entités et aux opérateurs de mettre en œuvre des directives plus exigeantes (on pense à celles du NIST…) à partir du moment où elles répondent aux exigences réglementaires. L’USCG précise d’ailleurs qu’ils encouragent l’application des standards du NIST, notamment le Framework for Improving Critical Infrastructure Cybersecurity et la publication NIST 800-82.

En effet, les exigences MSTA existences sont déjà assez nombreuses et rappelées dans ce document (notamment les parties 105 et 106 du CFR 33), qui donne des informations d’ordre général relatives à la cybersécurité et permet à l’USCG de disposer de l’autorité pour assurer les contrôles de conformité et approuver les FSA et les FSP. L’identification, l’évaluation et le traitement des risques cyber reste cependant bien de la responsabilité des opérateurs et directeurs d’entités.

Les USCG rappellent la dépendance croissante de l’industrie maritime aux systèmes d’information. Que ce soit notemment pour les communications, l’ingénierie, le contrôle de la cargaison ou des paramètres environnementaux, le contrôle d’accès ou encore la vérification de la cargaison et des passagers. La sécurité et la sûreté des installations dépendent également de sysèmes informatiques, pour la surveillance incendie, la surveillance périmétrique… tous ces systèmes apportent au monde maritime une fiabilité et une efficacité remarquables, mais introduisent de nouvelles vulnérabilité et donc de nouveaux risques. L’exploitation à des fin malicieuses, la mauvaise utilisation ou la simple panne de ces systèmes informatiques “cyber-physiques” peut même causer des blessures ou des décès, impact l’environnement et interrompre des activités essentielles pour le pays.

Parmi les points soulignés par la circulaire, on note l’entraînement du personnel. L’entité responsable doit donc indiquer comment elle inclut la cybersécurité dans l’entraînement du personnel, les politiques, et les procédures. Des exercices (voir CFR 33 105.220 33 et 106.225) doivent être prévus pour évaluer les vulnérabilités cyber du FSP, par exemple en utilisant des scénarios mélangeant cybersécurité et sécurité physique.

Parmi les autres points intéressants, j’ai noté :

  • la description obligatoire des procédures de mise à jour des systèmes et les tests de non-régression ;
  • les mesures de sécurité pour les systèmes de contrôle d’accès (voir CFR 33 105.255 33 et CFR 106.260) ;
  • une partie plus défensive, liée à la détection antivirale et à la détection d’intrusion temps-réel, le suivi de la journalisation des hôtes et des serveurs, la segmentation des réseaux entre l’IT et l’OT, les sauvegardes et la cartographie.

Les États-Unis se plaignent auprès de l’Organisation Maritime Internationale de l’explosion du nombre de perturbations des signaux de positionnement par satellite.

Je vous en ai parlé à plusieurs reprises : les signaux GPS (et GNSS au sens large) sont essentiels au fonctionnement quotidien en sécurité du monde maritime. J’ai évoqué avec vous les risques liés au leurrage ou brouillage de ces signaux, les risques particuliers liés aux véhicules maritimes autonomes, ainsi que de quelques exemples, notamment dans le Golfe Persique.

Le 10 mars 2020, les États-Unis ont fait connaître auprès du Maritime Safety Commitee de l’Organisation Maritime Internationale (OMI/IMO) leurs préoccupations sur la multiplication des perturbation des signaux GPS et GNSS. Le document demande à l’OMI et statuer de manière urgente sur les cas de brouillage et de leurrage qui met en danger la sécurité des navires et des marins en mer. Après avoir rappelé les cas intentionnels connus en mer Noire et en Méditerranée orientale de 2016 à 2018 (suivez mon regard…) ayant impacté la navigation en eaux internationales et dans des zones de fort transit maritime, le document souligne le caractère presque systématique de ces cas de leurrage/brouillage. Il s’appuie pour cela sur des recherches ayant montré que, sur une année, chaque transit d’un cargo entre l’Europe et l’Asie du Sud-est permettait d’identifier la survenue d’au-moins un cas d’interférence GNSS.

Ces brouillages intentionnels contreviennent aux conventions internationales, notamment l’International Telecommunication Union Radio Regulation 19.2, qui stipule que toute transmission dont la source est fausse ou trompeuse sont interdites.

En réponse, les États-Unis demandent à l’OMI d’émettre une circulaire :

  • rappelant aux états membres de l’OMI de ne pas commettre ce type d’opération, sauf quand cela est nécessaire pour des raisons de sécurité,
  • demandant aux états membres de prendre les actions nécessaire dans la prévention de ces interférences sur les satellites GNSS et de prévenir les marins des périodes et zones impactées par ces interférences.

Bon, en plus d’une circulaire, on espère surtout que les moyens de prévention (par exemple mais pas uniquement les antennes CRPA..), de détection et de résilience deviendront obligatoires à bord des navires.