Publication par l’ENISA d’un rapport sur les bonnes pratiques de cybersécurité pour les systèmes portuaires.

Actualités

Le 26 novembre 2019, l’ENISA (l’agence européenne de sécurité informatique) a publié un rapport appelé « Port Cybersecurity – Good practices for cybersecurity in the maritime sector« .

Contexte

Comme le reste du monde maritime, les ports se numérisent à vitesse grand v et accélèrent leur transformation en smart port. Objectifs : être plus performants, d’un point de vue logistique, sécurité, financier… Les nouveaux concepts (plus ou moins réalistes) et enjeux pour les ports regroupent notamment l’IoT, la blockchain (pour les aspects logistiques), le big data, l’infonuage, l’automatisation, l’IA (bingo), la 5G, augmentant d’autant leur exposition potentielle.

Mais, en parallèle, les incidents visant les ports se multiplient. En effet, au niveau mondial, les ports voient transiter une quantité astronomique de biens essentiels au fonctionnement de l’économie. Les montants financiers correspondants sont donc, eux aussi, gigantesques (cf la récente étude de la Lloyds sur le sujet). D’où un intérêt réel pour des attaquants potentiels. Cependant, au-delà des attaques visées, il ne faut pas minimiser le fait que la cyber-criminalité vise large : sans forcément viser un port, ou un hôpital, ceux-çi peuvent malgré tout être impactés par une cyber-attaque « mondiale » (cf le « cas » Maersk).

Contenu du rapport

Le rapport d’une soixantaine de pages liste un ensemble de mesures de sécurité que les autorités et opérateurs portuaires peuvent adopter pour améliorer leur niveau de cybersécurité. Le rapport peut notamment aider à :

  • Définir une politique organisationnelle claire en termes de cybersécurité portuaire, intégrant l’ensemble des entités intervenant dans les opérations portuaires.
  • Mettre en œuvre les mesures techniques de cybersécurité de base (cloisonnement réseau, gestion des mises à jour, renforcement de la sécurité des mots de passe et des droits…
  • Intégrer la cybersécurité dès la conception des applications et réseaux portuaires.
  • Améliorer les capacités de détection et de réponse au niveau portuaire pour réagir dès que possible à une cyberattaque avait qu’elle impacte les opérations, la sécurité ou la sûreté portuaire.

Les objectifs du rapport

Le rapport a été écrit en collaboration avec plusieurs ports européens, notamment HAROPA Ports, les ports de Valence, Trieste, Dublin, Anvers, Saint Nazaire, Tallin, Le Pirée, Brème, Rotterdam et Amsterdam.

Les bonnes pratiques indiquées dans le rapport doivent permettre essentiellement :

  • d’identifier les principaux services et infrastructures des ports (transport des cargaisons, des passagers, des véhicules, activités de pêche) et établir une cartographie des principaux acteurs de l’écosystème portuaire afin d’établir une vue d’ensemble des biens ;
  • établir un modèle de haut niveau définissant les systèmes portuaires et les flux de données entre eux et vers les autres systèmes ;
  • lister les principaux enjeux de cybersécurité auxquels les acteurs sont confrontés aujourd’hui et demain pour identifier les différentes menaces et leurs impacts potentiels ;
  • décrire les scénarios d’attaque que l’écosystème des ports pourrait rencontrer, en s’appuyant notamment sur les cyberattaques ayant déjà touché le secteur ;
  • fournir une liste de mesures de sécurité pour souligner les meilleures pratiques et améliorer la maturité des écosystèmes portuaires en matière de cybersécurité.

Source : communiqué de presse de l’ENISA et travail personnel

Véhicules maritimes autonomes et risques cyber

Les risques

Nous avons déjà évoqué le sujet des véhicules maritimes autonomes dans plusieurs articles précédents, notamment dans le cadre des premiers essais de bacs autonomes en Finlande, dans un article relatif au futur de la marétique, et avons rappelé certaines références réglementaires qui commencent à émerger sur le sujet. On rappellera que, dans le contexte maritime, on trouve et on trouvera des UAV (Unmanned Aerial Vehicles), USV (Unmanned Surface Vehicles) et UUV (Unmmaned Underwater Vehicles). Sans voir ce type de « navires » autonomes partout à très court terme, ni systématiquement à long terme (leur emploi pour le transport de passagers ou de cargaison à haute valeur, ou pour la pêche, pose de nombreuses questions). Cependant, face à une certaine congestion, aux manoeuvres complexes (et souvent dangereuses pour l’homme), dans le contexte militaire, mais aussi par exemple pour des questions de sécurité en mer (prévention anti-collision ou échouage), un certain degré d’autonomie peut être souhaitable. Cependant, qui dit autonomie dit automatisation et, potentiellement, accès à distance et, dans tous les cas, nouveaux risques cyber à prendre en compte. Il serait dommage que, une nouvelle fois, le problème soit pris à l’envers et que l’on pense d’abord aux navires ou aux ports autonomes avant de penser à leur sécurité.

De ce côté-ci de la planète bleue, Rolls-Royce et Wärtsilä sont les deux entreprises du secteur maritime à investir et démontrer leur savoir-faire dans le domaine, que ce soit pour les remorqueurs, les bacs, et les navires autonomes de plus grande taille (cf ma chaîne Youtube pour quelques exemples futuristes ou actuels). Les grands enjeux de cybersécurité sur ces navires sont :

  • l’automatisation : le recours aux automates et à l’IA (vous l’attendiez 🙂 ) vont faciliter le travail au quotidien mais la réalisation automatique de tâches ou la prise de décision automatique posent de réels enjeux de cyber-sécurité, tant au niveau des capteurs (quelle confiance leur accorder), que de l’automate ou du processeur (quelle confiance leur accorder #bis), du programme ou de l’algorithme d’apprentissage utilisés et des données d’apprentissage (#ter), notamment. Côté capteurs, on se rappellera du sujet déjà évoqué des risques liés au positionnement, par exemple. Se poste aussi la question essentielle de la résilience à la mer face à une telle complexité de systèmes ;
  • l’intégration : l’autonomie repose beaucoup sur l’interconnexion de systèmes autrefois isolés (physiquement, logiquement, fonctionnellement) les uns des autres et le recours aux technologies type big data (vous l’attendiez aussi) pour faciliter l’orchestration du navire ;
  • le contrôle et la maintenance à distance : suivant le degré d’autonomie, l’autonomie peut être locale (le chef de quart enclenche le mode autonome, version améliorée du pilote automatique) ou distante (il n’y a plus personne en passerelle et le navire est contrôlé à distance pendant tout ou partie de sa mission). Pour des raisons évidentes de maintenance et de suivi (préventifs ou réactifs), le recours actuel à la maintenance à distance va se renforcer avec ce type de navire : les questions de disponibilité, d’intégrité, voire de confidentialité de ce lien vers la terre sont donc essentielles, d’autant plus que le lien support sera souvent partagé et reposera en grande partie sur Internet.

Les risques
En cas d’incident, les risques peuvent être multiples : armateurs, opérateurs portuaires (on peut même imaginer un cas complexe, en termes de responsabilité, d’un navire autonome accostant dans un smart port aidé par des remorqueurs autonomes : en cas d’accident, la preuve de responsabilité pourrait être complexe à obtenir). La particularité des systèmes autonomes est que, hormis pour des cas d’espionnage, par exemple, il y a de fortes chances pour qu’il ait un impact cyber-physique en cas de cyberattaque (sur l’environnement, le patrimoine, l’homme)…

Parmi les premiers risques liés aux véhicules autonomes, le fait qu’ils s’appuient sur des capteurs (GPS, AIS, éventuellement radar, voire carte numérique) qui peuvent être plus ou moins facilement trompés. Une attaque sur le positionnement (brouillage, mais surtout leurrage) pourrait avoir des conséquences directes et dramatiques pour un navire autonome dont la surveillance (distante) serait défaillante. Si, en plus, l’attaquant parvient à berner le navire et son contrôle à distance (un peu à la Stuxnet), la contre-mesure est bien difficile à mettre en oeuvre. En effet, ce type d’attaque a une conséquence directe : le navire évolue pour reprendre une position correcte : il corrige son cap, voire sa vitesse, de manière autonome à partir de l’information transmise par le capteur. Sans veille humaine, les conséquences pourraient donc être graves : collision avec un autre navire, échouage, collision avec une infrastructure portuaire… voire impossibilité de transit dans une zone critique (détroit…). On se rappelle des démonstrations réalisées par des chercheurs du Texas sur le sujet en… 2013 (déjà !).

Que faire ?

A titre personnel, je vois cinq axes d’effort :

  1. le rôle du régulateur (en l’occurrence l’OMI) qui doit impérativement fixer de hauts niveaux d’exigences pour les navires autonomes en matière de cybersécurité, notamment dans le partage / fusion des données issues de systèmes différents, la confiance dans les capteurs, l’intelligence artificielle (comment l’algorithme réagit en cas d’incohérence, de panne…), et le cloisonnement et la redondance des réseaux et capteurs.
  2. la sensibilisation des industriels et chantiers navals concernés qui auront un avantage concurrentiel à disposer d’une solution sécurisée par défaut sur ce type de navire du futur.
  3. les essais, tests et entraînements liés aux modes dégradés sur ces systèmes. L’objectif est d’en identifier les vulnérabilités en plateforme et dans le cadre d’un processus de certification, mais aussi tout au long du cycle de vie du navire.
  4. le renforcement des systèmes de la marétique et leur certification cyber avant déploiement sur ce type de navire autonome. Ce ne sera pas parfait, mais la surface d’attaque serait diminuée d’autant.
  5. la surveillance cyber de ces systèmes à distance.

A lire aussi :

Le guide du Cluster Maritime Français sur les drones maritimes.

Sources :

  • https://www.marinelink.com/news/autonomous-shipping-cyber-hazards-ahead-471587
  • Analyse personnelle

Publication du rapport du CESER sur la marétique.

Actualités, La marétique

Le CESER, conseil économique, social et environnemental régional de la Région Bretagne a publié en septembre dernier un rapport d’étude appelé « Vous avez dit marétique ? Des opportunités à saisir à la confluence de la mer et du numérique en Bretagne », que je vous invite à lire en cliquant sur ce lien.

Dans ce rapport de 168 pages, Daniel CLOAREC et Anne COUËTIL, rapporteur et rapporteuse, évoquent notamment les sujets de cybersécurité de la marétique. Voici les principaux extraits sur ce sujet.

p.4 : « Zoom sur une filière en structuration… la cybersécurité maritime »

« Au niveau européen, la Bretagne est considérée comme un territoire en pointe sur les questions de cybersécurité, avec l’Estonie et la Castille-et-León (Espagne). L’implantation d’acteurs emblématiques positionnés sur des activités duales (c’est-à-dire civiles et militaires) lui est très spécifique. La combinaison de la dimension cyber, des acteurs du numérique et d’activités maritimes est un élément différenciant pour le territoire régional, qui a conduit à la création d’un pôle d’excellence par l’État et le Conseil régional. Il comporte un volet maritime,formalisé par la Chaire «Cyberdéfense des systèmes navals», basée à l’École Navale, et qui vise à stimuler la recherche et la formation. Un [projet de] mastère «cybersécurité du monde maritime» a été annoncé pour 2020. »

p. 9 : « Intégrer la marétique dans les formations préparant aux métiers de la mer »

« Pour les métiers de la mer comme pour les autres, ce qui sera déterminant, c’est la capacité d’agir et les moyens d’adaptation des personnes dans un contexte en évolution permanente.Le CESER retient l’impératif d’intégrer davantage le numérique, notamment dans son volet marétique, aux formations préparant aux métiers de la mer, par des modules de formation spécifiques, des programmes d’animation… Il est important que chaque acteur maritime, tous secteurs et tous niveaux de qualification confondus, dispose d’un socle de connaissances lui permettant de s’adapter aux évolutions des métiers, ce qui implique notamment des connaissances relatives à la protection des données (personnelles et commerciales), à la cybersécurité maritime, au traitement des données relatives à la mer et la prise en main des nouveaux outils permettant d’améliorer la sécurité des emplois. Il s’agit de donner à chacun les clés pour comprendre les implications économiques, sociales et environnementales de la transformation numérique dans le cadre de ses activités professionnelles. »

p. 10 « Ancrer et Bretagne des compétences exclusives sur des sujets marétiques de pointe »

« La Bretagne a matière à se distinguer dans des sujets de pointe (tels que la bio-informatique marine, la cybersécurité maritime, l’exploitation de données satellitaires au service des activités maritimes, etc.). Il faut cultiver ce niveau d’expertise, en multipliant et en soutenant les formations de haut niveau. Une telle action doit aller de pair avec le soutien des initiatives de recherche dans le domaine de la marétique (par exemple chaires, bourses doctorales…). Des formations et modules d’enseignement combinant science des données et sciences applicatives marines pourraient notamment être soutenues. »

p.32 « Le développement des systèmes autonomes »

« Au-delà de l’aspect strictement technologique, la transition vers ces nouveaux modes de navigation sera donc aussi sociale, générationnelle et institutionnelle. La réglementation internationale65, les délais de certification et l’âge moyen de la flotte laissent présager une période transitoire où coexisteront les différents systèmes.Enfin, l’information numérique ayant envahi les infrastructures, les réseaux maritimes et les navires, ceux-ci sont aussi plus exposés aux risques d’intrusions et d’attaques numériques (cyberattaques), particulièrement prégnants dans un contexte de tensions internationales et de tentatives de déstabilisation de l’économie mondialisée. »

p. 78 « La marétique dans les filières émergentes de la Bretagne »

« La cybersécurité, avec la création à Rennes d’un pôle d’excellence qui regroupe la Direction générale de l’armement, des entreprises ainsi que des acteurs de l’enseignement supérieur et de la recherche. Il comporte un volet maritime formalisé par la création de la Chaire «Cyberdéfense des systèmes navals» basée à l’École Navale. En partenariat avec l’IMT Atlantique, Thales et Naval group, la chaire vise à stimuler la recherche et la formation (doctorat et post-doctorat) sur ce sujet. La création d’un mastère «cybersécurité du monde maritime» a été annoncée. »

p. 88 « Le conseil régional dispose de plusieurs leviers d’action« 

« Au terme de cette étude, le CESER affirme que la marétique peut constituer l’un de ces axes de différenciation. En ce sens, il invite le Conseil régional à identifier la marétique comme un champ stratégique d’innovation à part entière de la S3. Un volet particulier sur la cybersécurité maritime pourrait également être inscrit, la capacité à regrouper sur le même territoire les activités maritimes,le numérique et la dimension cyber étant un élément réellement différenciant de la Bretagne. La présence de ces compétences sur le territoire régional pourrait être un levier pour le développement de la marétique, et plus précisément des activités liées à la donnée. »

p. 89 « Soutenir la structuration d’un écosystème complet dédié à la marétique »

« Par exemple, le Comité interministériel de la mer (CIMER), réuni le 15 novembre 2018, avait annoncé la préfiguration d’un centre national de coordination de la cybersécurité pour le maritime (mesure 46). Le CESER soutient l’implantation de ce centre à Brest, à proximité du «MICA Center» et de la Chaire de cybersécurité des systèmes navals. En ce sens, il invite le Conseil régional et ses partenaires, notamment Brest Métropole, à poursuivre la mobilisation en ce sens. »

p.111 « Des données faisant l’objet d’une réglementation de plus en plus stricte »

« Une protection accrue des données à caractère personnel.

Les « données à caractère personnel » sont visées par le règlement général sur la protection des données (RGPD), adopté par l’Union européenne en 2016 et applicable dans tous les États membres depuis 2018. Ce texte met à la charge des entreprises, administrations, associations, de nouvelles obligations en matière de captation et de traitement des données personnelles. La notion de «donnée à caractère personnel» vise toute information se rapportant à une personne physique identifiée ou identifiable, directement ou non, grâce à un identifiant ou à un ou plusieurs éléments propres à son identité.

La sécurité des systèmes d’information

La France est le premier pays à avoir inscrit dans la loi, dès 2006, la mise en place d’un dispositif de sécurité de ses infrastructures critiques, en définissant des « secteurs d’activités d’importance vitale » (SAIV) qui ont trait à la production et à la distribution de biens ou de services jugés indispensables ou qui peuvent présenter un danger pour la population. Douze secteurs sont concernés, parmi lesquels les transports ou encore l’énergie. Dans ces secteurs, 259 « opérateurs d’importance vitale » (OIV) ont été identifiés mais leur liste nominative est confidentielle. Avec le renforcement des menaces en matière de cybersécurité et l’intégration d’un volet dédié au sein de la loi de programmation militaire (2013), l’État a engagé le renforcement de la sécurité des systèmes d’information exploités par ces opérateurs, avec des obligations en matière de formation, d’analyse des risques, d’établissement d’un plan de sécurité, d’identification des points nécessitant une protection particulière. »

Les risques cyber liés aux moyens de positionnement par satellite

Actualités, Les risques

Contexte

Aujourd’hui, le coût modeste (quelques dizaines d’euros pour un récepteur de base), la miniaturisation et la grande disponibilité des récepteurs GPS nous permettent de penser que ce réseau nous est toujours acquis. Ces facilités ont aussi permis le développement du GPS dans de nombreux secteurs d’activités dont il était auparavant absent (on peut penser au secteur médical, au suivi des animaux de compagnie, le sport, l’agriculture, les… tondeuses domestiques, la photographie et les grues portuaires (sur ce sujet, lire aussi cet article…)). A tel point qu’il est difficile de donner un chiffre précis sur le nombre de récepteurs GPS de par le monde.

Ce qui est parfois oublié, c’est que le GPS n’est pas qu’une histoire de positionnement. Avec positionnement de précision, le GPS apporte aussi des informations horaire de grande précision. Ainsi, de nombreux pans de l’industrie reposent, parfois sans le savoir, sur la technologie GPS comme information de temps. Cette information de temps sera aussi de plus en plus importante avec l’arrivée de technologies comme la 5G qui nécessiteront une grande précision d’horloge.

Cependant, cette facilité d’acquisition de récepteurs GPS et le développement de la radio logicielle ont facilité le développement de solutions low cost de leurrage et de brouillage GPS : les techniques qui étaient auparavant uniquement accessibles au gouvernement se retrouvent aujourd’hui sur YouTube et le matériel sur Amazon pour quelques centaines d’euros. Résultat : le nombre de cas de leurrage ou de brouillage GPS augmente (voir ici pour quelques exemples) et les contre-mesures tardent à arriver.

GPS et monde maritime

Avec l’aviation, le secteur maritime est probablement un des secteurs le plus dépendant à la navigation par satellite (Global Navigation Satellite Systems, GNSS)). Le secteur est devenu d’autant plus dépendant que, face au caractère pratique des systèmes GNSS, il a abandonné progressivement les solutions historiques de positionnement hauturier, notamment celles liées à la radionavigation. Ce constat est notamment lié aux conventions SOLAS de l’IMO qui imposent le transport d’un récepteur GNSS par tout navire soumis à cette convention. Si 87% des navires marchands disposent d’un récepteur GNSS, c’est aussi l’industrie du nautisme et de la pêche qui assurent une croissance forte du secteur. Les systèmes GNSS se devenus le mécanisme par défaut d’élaboration de la position, de la vitesse et du cap du navire, remplaçant parfois d’autres équipements traditionnels (loch, compas), le tout étant fusionné dans des systèmes de cartographie type ECDIS (Electronical Chart Display Information System) et diffusé par AIS vers les autres navires (lire cet article récent sur un exemple dans le port de Shangaï).

En 2017, une étude mandatée par le gouvernement du Royaume-Uni évaluait l’impact financier sur l’économie maritime d’une perte globale de GNSS pendant 5 jours à 1,1 milliard de livres ! Ce chiffre s’explique notamment par l’impact sur le débarquement des containers dans les ports et la dépendance, déjà mentionnée supra, des grues de débarquement aux systèmes de positionnement par satellite et donc à l’incapacité durant cette période d’assurer l’embarquement et le débarquement de containers. L’impact lié au secteur maritime est cependant plus important, avec notamment des risques réels liés aux systèmes de télécommunication ou encore aux systèmes d’horodatage. La véritable difficulté étant effectivement la mesure de l’impact : on imagine mal réaliser un exercice – réaliste – de leurrage ou de brouillage GPS sur un port en activité.

Le monde maritime se veut cependant résilient : à bord, les équipages doivent pouvoir trouver une solution de contournement, comme le retour à des systèmes de navigation plus traditionnels, mais qui deviennent de moins en moins appris et pratiqués de manière régulière (quoique…). Face aux risques liés aux systèmes GNSS, l’US Navy est revenue en arrière (comme pour les écrans tactiles en passerelle) en réintégrant la navigation astrale qu’elle avait abandonné depuis les années 2000. Autre impact : si la position GNSS est indisponible, les impacts sur d’autres systèmes dépendant de la position (AIS, par exemple) et de l’heure (systèmes synchronisés par NTP) sont aussi importants : l’information de position des navires sur les ECDIS ne sont plus exactes, ce qui peut engendrer de véritables risques de collision ou d’échouage.

Contre-mesures

Comment prémunir toute tentative de leurrage ou de brouillage d’un système GNSS ?

  1. La dépendance des installations et de l’activité au GNSS (position ET système d’horloge) doit être clairement établie. La menace pouvant évoluer suivant la position du navire, certaines zones sont plus soumises à des risques que d’autres (par exemple les zones de conflit).
  2. Surveiller attentivement les sites d’alerte (les alertes de dysfonctionnement, de leurrage et de brouillage peuvent aussi être diffusées par Standard C, Avurnav ou NAVTEX, mais parfois trop tard).
  3. Envisager l’emport de systèmes de positionnement alternatifs (par exemple Glonass et GPS ou Galileo et GPS).
  4. Prendre en compte l’absence de positionnement dans les plans de continuité et de reprise d’activité (PCA/PRA).
  5. S’assurer que les équipages (et les armateurs et les ports) soient sensibilisés sur le sujet et sachent détecter, réagir et alerter en cas de dysfonctionnement d’un GNSS.
  6. Utiliser certaines antennes, comme les antennes CRPA, pour se prémunir des tentatives de brouillage. Elles commencent à être de plus en plus nombreuses sur le marché. Voir cet article de recherche et celui-ci sur leurs performances (le premier doc est marqué « propriétaire et confidentiel », mais est indexé par les moteurs de recherche. Oups.)

Ah oui, j’ai parfois eu quelques questions sur « cyber/pas cyber » le risque lié au leurrage / brouillage GNSS. A partir du moment où cela peut avoir un impact sur un système d’information (en l’occurrence, l’ECDIS ou un système nécessitant une horloge précise), je m’y intéresse. Comme pour un incendie dans un datacenter 😉

Sources :

D’après la Lloyd’s, une cyberattaque sur les ports asiatiques pourrait coûter 110 milliards de dollars

Actualités
Un porte conteneur

D’après un rapport de la Lloyd’s de Londres réalisé avec le Cyrim (voir ici pour la vidéo et là pour le rapport PDF) et repris par l’agence Reuters, une cyberattaque sur les ports asiatiques pourrait coûter jusqu’à 110 milliards de dollars, montant équivalent à la moitié du total des pertes liées aux catastrophes naturelles en 2018.

Rappelons d’abord que la Lloyd’s est une entreprise spécialisée dans la couverture des risques commerciaux, et que ceux-ci sont moins souscrits en Europe et en Asie qu’aux États-Unis par exemple.

Le scénarios retenu (cf page 16 du rapport) simule l’infection d’un code malveillant qui serait transporté par des navires et impactant ensuite les base de données des ports. Une attaque sur un port figure dans la short list des scénarios retenus pour le secteur maritime. On se rappelle en effet les attaques dont plusieurs ports ont été victimes en 2018 et des impacts (directs et indirects) associés, voir notre page consacrée aux incidents cyber dans les secteur maritime). Dans ce scénario, cette cyberattaque affecterait 15 ports au Japon, en Malaisie, à Singapour, en Corée du sud et en Chine. 92% (soit 101 milliards de dollars) des coûts économiques associés ne seraient ainsi pas couverts.Les pays ayant des liens avec chaque port seraient également touchés. Ainsi, les pays asiatiques seraient les plus touchés avec 26 milliards de dollars de pertes indirectes, suivis de l’Europe avec 623 millions de dollars Le scénarios retenu (cf page 16 du rapport) simule l’infection d’un code malveillant qui serait transporté par des navires et impactant ensuite les base de données des ports. Une attaque sur un port figure dans la short list des scénarios retenus pour le secteur maritime. On se rappelle en effet les attaques dont plusieurs ports ont été victimes en 2018 et des impacts (directs et indirects) associés, voir notre page consacrée aux incidents cyber dans les secteur maritime). Dans ce scénario, cette cyberattaque affecterait 15 ports au Japon, en Malaisie, à Singapour, en Corée du sud et en Chine. 92% (soit 101 milliards de dollars) des coûts économiques associés ne seraient ainsi pas couverts.

L’Asie regroupe 9 des 10 ports les plus importants au monde (Shangaï, Singapour, Shenzhen, Nigbo-Shoushan, Guangzhou, Busan, Hong Kong, Quindao, Tianjin) et représente donc une étape essentielle dans la chaîne d’approvisionnement de très nombreuses compagnies de part le monde, que ce soit dans le secteur automobile, manufacturier ou encore l’électronique. Le rapport estime ainsi que l’impact dépasserait largement le continent asiatique, qui subirait 26 milliards de dollars de pertes indirectes, suivi par l’Europe (et oui) avec 623 millions de dollars et l’Amérique du nord avec 266 millions de dollars (cela dépendrait aussi évidemment de la durée de l’évènement et de la difficulté de coordination internationale dans le cadre d’un tel évènement).

Rendez-vous « Vous avez dit marétique ? » à la CCI de Morlaix (29)

Actualités

Ce soir, 19 novembre 2019 à la Chambre de Commerce et d’Industriel de Morlaix (Salle Yeun Elez), le Campuse Mondial de la Mer organise une conférence et table ronde « Vous avez dit marétique ? » à partir de 18h.

Au programme, des échanges sur l’application au domaine maritime des outils et services numériques, avec le témoignage du lauréat « Pays de Morlaix » de l’Océan Hackathon 2019, des interventions de la Brittany Ferries et de la station biologique de Roscoff.
Vous retrouverez notamment l’étude du Conseil économique, social et environnemental régional (CESER) sur le sujet de la marétique ici.


Renseignements et inscriptions :
conseil.developpement@paysdemorlaix.com
02 98 62 39 57

https://www.campus-mondial-de-la-mer.fr/Agenda-VOUS-AVEZ-DIT-MAR%C3%89TIQUE-_-2608-3689-0-0.html

De l’utilité des tests d’intrusions sur les navires

Actualités

Dans un article publié hier, la société Pen Test Partners, connue pour ses articles de blog sur la cybersécurité maritime, a publié un nouvel article un peu anxiogène sur le sujet.

Bon, il parait qu’il ne faut plus tenir de discours anxiogène, donc on va (essayer) de l’analyser sereinement.

La société, présente au Royaume-Uni et aux Etats-Unis, mène notamment des tests d’intrusions à la demande de ses clients sur différents types de navires. Dans leur article, ils précisent que, à chaque fois, ils parviennent à découvrir des systèmes d’informations que peu – voire aucun membre d’équipage – ne connait, ou qu’ils n’en connaissent pas l’utilité. Même si cela peu surprendre. Pourtant, il y peut y avoir des explications (que l’article ne souligne pas, préférant – un peu trop à mon goût – le buzz). Je vous donne quelques possibilités d’explication :

  • Un navire, c’est un équipage, mais qui n’est pas nécessairement constitué de manière permanente : il peut évoluer au fur et à mesure des besoins et constituer un véritable patchwork. L’article ne le précise pas. Pour avoir eu l’occasion de travailler sur les sujets cyber sur quelques navires cyber, je peux vous au contraire, que, à chaque fois, chez les armateurs rencontrés, l’équipage était parfaitement informé du rôle des différentes machines présentes en passerelle et ailleurs.
  • Un armateur n’est ni le concepteur, ni l’intégrateur d’un navire : on lui livre un navire répondant à ses critères. Il n’a donc pas nécessairement une connaissance intrinsèque du navire (câblage, fonctionnement intime des systèmes d’information, etc…). Cela peut surprendre, mais ne nous trompons pas : c’est aussi le cas dans de nombreux autres secteurs (quelle entreprise – non informatique – connait parfaitement le câblage de tous ses bâtiments ?
  • Les maintenanciers déposent effectivement régulièrement des équipements à bord des navires pour réaliser des opérations de maintenance préventive ou corrective, notamment pour comprendre l’usure ou les dysfonctionnements d’une installation. Rien de surprenant, le maintenancier ne pas pas maintenir à bord du navire du personnel de maintenance. D’où Teamviewer, pour disposer d’un accès à distance à la machine en question.

Alors suis-je surpris/choqué ? Non. La vulnérabilité, dans ce sujet, est surtout le maintenancier, qui n’a, on est d’accord, pas pris les mesures de sécurité qui s’imposent sur les opérations de maintenance à distance. Donc là où l’article considère que ce type de découverte dans le monde maritime, c’est  » business as usual », d’abord c’est un peu exagéré, et deux, c’est méconnaître aussi les raisons intrinsèques du pourquoi : on traite encore une fois les conséquences et non les causes : le problème reviendra donc.

Mais continuons sur l’article.

Côté armateur à terre, l’article souligne que personne n’a connaissance de l’existence de cette machine. Bon, surprenant ? Non. Suivant la taille du navire, l’armateur ne dispose bien souvent d’aucun expert en systèmes d’information, le recours à la sous-traitance étant particulièrement important.

Installé par un tiers ? Oui, on en a parlé au-dessus : pas de surprise. Pas d’étiquetage, OK, pas complètement surprenant car il s’agit peut-être d’un poste temporaire (l’article ne le dit pas). En revanche, effectivement, si sa vocation est de rester en permanence à bord du navire, c’est moins légitime. Mais si les contrats fixés par l’armateur ont « laissé la main » au maintenancier, ce n’est pas surprenant.

Autre défaut, qui a contribué à l’oubli de la machine en passerelle, le poste informatique en question ne disposait pas d’un mode « nuit ». Or, en passerelle, afin de permettre aux équipes de quart de mieux voir ce qui se passe à l’extérieur la nuit, les équipements disposent de fonctions permettant de réduire la luminosité des écrans. L’équipage a donc « couvert » l’écran pour éviter toute perturbation lumineuse.

Deux câbles RJ-45 sortent du PC en question. Les pentesteurs décident de le déconnecter (après une analyse de risques) et l’utiliser un dispositif TAP (Test Access Port) pour récupérer le trafic circulant sur le réseau de manière sûre. Ils identifient la diffusion de trafic de type NMEA0183 en UDP sur ce réseau. D’après l’entreprise, c’est un cas assez classique sur les réseaux industriels. Là, je suis plus ou moins d’accord : sur des navires récents ou de taille moyenne, pourquoi pas, sur des navires anciens ou soumis à des règles particulières de navigation, c’est moins sûr. Ce qui est possible, c’est que certains éléments figurant dans la trame NMEA étaient nécessaires à l’équipement ou à l’installation distante (par exemple : la vitesse ou le cap), ou que les ordres entre les équipements en passerelle et les installations distantes se font en NMEA (par exemple : les ordres du pilote automatique).

L’en-tête des trames NMEA indiquait « $IN », généralement utilisé par les instruments de navigation en passerelle. Après vérification, l’entreprise a identifié que l’un des quatre systèmes ECDIS en passerelle émettait la même information sur un port série sur lequel juste le fil TX (émission) ếtait câblé.

Connecté à la « boîte mystère » était connecté un convertisseur série Moxa, comme celui-ci, non étiqueté, et un câble blindé en sortait. Ce type de câble est très difficile à suivre dans un navire pour en déterminer la provenance/destination. Après une analyse de risques, l’équipe décide d’écouter ce qui transite sur ce câble et y détecte du trafic Modbus, avec un équipement « maître » lisant des registres d’un équipement en mode « esclave ». La lecture de ces valeurs montre une valeur de 169, le navire faisant route à 16,9 nœuds, il y a des chances que les deux valeurs soient liées… il pourrait donc s’agir d’informations échangées entre la passerelle et, par exemple, la machine.

Après un retour à quai, l’équipe investigue la machine en question, qui fonctionne sous Windows et joue le rôle de maître Modbus et interroge régulièrement un esclave pour obtenir des informations. La difficulté d’une connexion Modbus est qu’elle nécessite l’émission et la réception d’information sur la connexion Modbus : il n’est pas possible de déconnecter le câble d’émission, par exemple : il est donc vraisemblable que, depuis la passerelle, la machine sous Windows puisse potentiellement écrire des registres en utilisant ce protocole. Lors des essais réalisés par l’équipe, une action d’écriture/lecture depuis le poste en passerelle confirme la chose. En parallèle, l’équipe cherche l’origine de la connexion et la retrouve, 11 ponts plus bas, sur une interface série donnant sur un automate, non documenté, et ne disposant pas d’adresse IP mais d’autres connexions, potentiellement vers d’autres automates de la machine. La machine Windows, elle, disposait the Team Viewer et n’était pas à jour.

Après enquête, il apparaît que le contrat avec le sous-traitant avait été arrêté il y a plusieurs années. Il s’agissait d’un système (c’est très à la mode d’ailleurs, vous savez, faire des « data lakes » partout) chargé de récupérer des informations de conduite de la machine et d’ailleurs (ECDIS…) pour déterminer si les performances du navire étaient « économiques » et efficaces et tenter de les optimiser.

Les câbles sous-marins

Actualités, La marétique, Les risques

Cela m’a toujours étonné, mais finalement assez peu de personnes connaissent bien le domaine des câbles sous-marins. Je ne parle pas seulement en termes de technologie, mais il est assez surprenant de constater que certains ignorent même jusqu’à leur existence. Il faut dire que, tapis, dans les profondeurs des océans, il est tentant de les oublier. Pourtant, ils permettent au quotidien le transit de 98% des communications téléphoniques et des transferts de données intercontinentaux. Sans eux, notre quotidien et notre économie seraient profondément bouleversés.

km

(Rapide) historique

Je n’aborderai pas le cas des câbles sous-marins servant principalement au transport de l’énergie électrique pour se concentrer sur ceux dédiés aux télécommunications. Le câble n’est pas une invention récente, puisque les premiers essais de transmissions télégraphique via câble sous-marin datent du milieu du XIXè siècle, avant une première exploitation commerciale de transmission d’ordre boursiers (déjà) entre la France et l’Angleterre. Le câble est cependant un équipement fragile à l’époque : sensible aux tremblements de terre, à de fortes pressions, au marées, et aux fonds parfois rugueux, ils n’ont qu’une espérance de vie limitée.

Il faut attendre la fin du XIXè siècle, et notamment la création de la Compagnie Française des Câbles Télégraphiques, pour que le premier câble longue distance (surnommé le « Direct » !) permette les communications sans relai entre la France (la station de Brest Déolen) et les États-Unis. Le développement des câbles se poursuit alors rapidement, début XXè, avec le déploiement de câbles entre l’Europe et l’Afrique, mais aussi à travers l’océan Pacifique. Les câbles, sur lesquels on exploite surtout la télégraphie, passent progressivement à l’utilisation de codes plus performants et adaptés, comme le code Baudot.

L’amélioration des technologies, comme l’emploi du câble coaxial et des répéteurs permettent alors d’envisager des télécommunications sur des distances beaucoup plus importantes, ainsi que l’acheminement des communications téléphoniques. Dans les années 1990, la fibre optique devient la technologie de référence : offrant des possibilités de multiplexage très avantageuses, elle décuple le nombre de circuits téléphoniques disponibles sur les câbles. Le cap symbolique du Gbit/s est franchi.

Le câble Sea-Me-We 3 (South-East Asia – Middle East – Western Europe) est mis en service le 23 août 1999. Câble à technologie optique, il relie l’Europe à l’océan Indien, le Japon et l’Australie. Long de 40 000 km, il reste aujourd’hui le plus long câble sous-marin en service, tout en restant compétitif (130 Gbit/s par paire de fibres optiques).

Mais qu’est-ce qu’un câble ?

Un câble sous-marin moderne est avant tout un support physique (vous vous rappelez, la fameuse couche 1 du modèle OSI). En l’occurrence, il permet de transmettre de la lumière (pour être plus précis, des longueurs d’ondes, donc des couleurs, différentes) à grande distance. On utilise des techniques de multiplexage en longueur d’onde (WDM, Wavelength Division Multiplexing) ou plus récemment SDM pour améliorer ses capacités en termes de débit.

Le câble sous-marin : une technologie à la fois simple et complexe. Les fibres optiques, (n°8 sur le schéma) sont protégées par de nombreuses couches de polyéthylène et d’acier, pour en assurer la solidité (crédit : Wikipédia)

Mais s’intéresser aux câble seuls n’est pas suffisant : il faut voir le système dans son ensemble, à savoir :

  • le concepteur du câble physique (en France, on peut citer Nexans)
  • les propriétaires des câbles (en France, Orange Marine)
  • les câbleurs (en France, Alcatel Submarine Networks, Orange Marine)
  • les navires câbliers , très reconnaissables (pour Orange Marine, citons le Pierre de Fermat, le René Descartes, le Léon Thévenin, le Raymond Croze) et pour Alcatel Submarine Networks : l’Île d’Aix, l’Île de Batz, l’Île de Sein, l’Île de Bréhat)
  • les sites d’atterrissage : en France, citons Lille (France-UK5), Dieppe (France-UK3), Cayeux (Circe South), Saint-Valéry-en-Caux (TAT 14, Cross Channel), Surville (Ingrid), Plérin (Flag Atlantic 1), Lannion (Apollo, HUGO), Penmarch (ACE, Sea-Me-We3), St Hilaire de Riez (Dunant), Le Porge (AMITIE, projet), Marseille (2Africa, AAE-A, Ariane 2, Atlas Offshore, Hawk, IMEWE, Med Cable Network, PEACE Cable, SeaMeWe-4, TE North/TGN-Eurasia/SEACOM/Alexandro/Medex), La Seyne (CC5), Toulon (Sea-Me-We5), Cannes (CC4), Île Rousse (CC4), Ajaccio (CC5), Saint Pierre et Miquelon (St Pierre and Miquelon cable), Sainte-Marie (La Réunion, Lower Indian Ocean Network), Saint-Paul (La Réunion, SAFE), Le Port (La Réunion, Meltingpot Indianoceanic Submarine System), Cayenne (Guyane Française, Americas II), Kourou (Kanawa, Ellalink), la Polynésie Française (Honotua, Natitua, Manatua), Nouvelle-Calédonie (Picot-1 et 2, Gondwana 1 et 2)
  • les stations de contrôle et de surveillance, qui sont chargées du suivi du bon fonctionnement des câbles, des liens SDN, du routage.
L’île de Bréhat, navire câblier d’Alcatel Submarine Networks (Wikipédia)

Les câbles : un enjeu politique et stratégique

Les océans comprenaient 448 câbles sous-marins en 2019, pour un coût par câble d’environ 700 M€ par câble. Représentant 50% des investissements des GAFAM, la « course au câble » est loin d’être une gageure : qui possède les câbles « possède », quelque part, les données qui y transitent et dispose d’un pouvoir géopolitique certain. En effet, les coupures de câbles peuvent avoir des effets considérables sur les pays qui sont impactés (cela a été le cas pour l’Algérie, la Somalie notamment).

Parmi les autres risques liés aux câbles, il faut bien entendu évoquer les risques d’interception (certains stations d’atterrissage sont « connues » pour disposer de dispositifs de recopie dont on imagine bien la destination, certains pays disposeraient de sous-marins capables d’actions physiques sur les câbles), les risques de destruction physique (couper un câble dont on connait la position est, finalement, relativement simple). Enfin, les stations d’atterrissage sont des bâtiments très importants à protéger.

Quelques références sur le sujet :

Un centre national de cybersécurité maritime à Brest ? Les choses se précisent.

Actualités

Le site Internet de la ville de Brest et de Brest Métropole Océane ainsi que le journal Le Télégramme nous informent que les choses avancent sur la création d’un centre national (voire européen ?) de cybersécurité maritime à Brest, sujet que j’évoquais déjà ici et . L’annonce publique officielle de la candidature de Brest a été réalisée aujourd’hui par Michel Gourtay, président du Technopôle Brest-Iroise (TBI) et vice-président de Brest Métropole chargé de l’économie à l’issue du conseil d’administration du Technopôle.

Il est vrai que Brest dispose de nombreux atouts pour accueillir ce centre. Je vais en citer quelques uns (et j’en oublierai sûrement) :

  • des acteurs et organisations publiques de premier plan : le Campus mondial de la mer, Ifremer, IUEM, le SHOM et bien sûr, le Technopôle Brest-Iroise ;
  • un tissu industriel de qualité et tourné vers la mer, que ce soit pour les grands acteurs, comme Thales ou Naval Group, mais aussi grâce à une myriade d’entreprises de qualité ;
  • de nombreux laboratoires de recherche, comme le lab-STICC ou encore la chaire de cyberdéfense des systèmes navals ;
  • des écoles d’ingénieur prestigieuses : IMT Atlantique, ENSTA Bretagne, École navale entre autres ;
  • enfin, la présence de la Marine nationale, ancrée de si longue date sur le secteur, et dotée de moyens de coordination importants, comme le Préfet maritime ou encore, dans le domaine de la coopération navale volontaire, le MICA Center et le MSHOA.
une femme de face et un homme de profil, posant dehors - Agrandir l'image, .JPG 161Ko (fenêtre modale)
Françoise Duprat, directrice du technopôle Brest Iroise et Michel Gourtay, président, lancent une rentrée brestoise bien chargée en tant que label Capitale French tech, Campus mondial de la mer et soutien de la candidature de Brest comme centre de cybersécurité maritime. © Christelle Hall (Source : Brest.fr)

On apprend également qu’un courrier officiel de candidature en ce sens, cosigné par la Région Bretagne, a été transmis à M. le Premier ministre le 12 juillet dernier, avec le soutien de la Marine nationale.

Mais qu’est-ce qu’un centre national de cybersécurité maritime ? Quelles pourraient être ses missions ?

  1. Tout d’abord, le rôle de coordination et d’animation sectorielles parait essentiel, en relation avec l’ensemble des acteurs du monde maritime en France (on pense aux armateurs, aux ports, aux acteurs industriels, au SGMer notamment), l’Agence nationale de sécurité des systèmes d’information, avec les autres CERT, mais aussi les acteurs européens voire mondiaux, comme l’OMI, sur les aspects liés à la réglementation voire à la certification dans ce domaine.
  2. Ensuite la sensibilisation : il y a toujours à faire dans ce domaine, pour expliquer la menace, démontrer les risques, en appliquant cette sensibilisation au secteur maritime, si particulier. Cette sensibilisation pourrait gagner à passer par la mise en pratique, au travers d’entraînements à la cyberdéfense dédiés.
  3. La formation : comme déjà évoqué, un mastère spécialisé en cybersécurité maritime est déjà en cours de création sur la région Brestoise : ce centre pourrait y apporter sa connaissance du secteur, son expérience, et contribuer à la formation des futurs experts du secteur.
  4. La recherche : en lien avec la chaire de cyberdéfense des systèmes navals, ses partenaires industriels, cette mission est essentielle pour pouvoir répondre aux enjeux de demain sur des thématiques parfois complexes.
  5. Enfin, très certainement une mission opérationnelle de cyberdéfense du monde maritime, proche de celle d’un CSIRT. Cette mission s’appuiera très certainement sur des capacités de cyber-surveillance, au travers d’un Security Operations Center à vocation maritime (navires et infrastructures terrestres, offshore et portuaires). Par ailleurs, le centre pourrait prendre à sa charge des actions préventives et réactives en cas d’incident. Gageons aussi d’une capacité de production et de partage d’information (type renseignement d’intérêt cyber / cyber threat intelligence) au niveau national et international spécifique au secteur. Une organisation et des procédures proches de ce qui fait au niveau du contrôle naval volontaire seraient d’ailleurs une bonne chose.
  6. On l’espère également, un lien favorisé avec les industriels du secteur pour partager les meilleures pratiques et réfléchir ensemble à une meilleure cybersécurité des navires et infrastructures maritimes d’aujourd’hui et de demain !

Bref, un bien beau projet en perspective pour apporter du concret et des réponses au secteur !

P.S. 1 : Notons que le mastère spécialisé en cybersécurité des systèmes maritimes et portuaires indiqué dans l’article devrait bien se construire autour d’un consortium entre l’Institut Mines-Télécom, l’ENSTA Bretagne, l’École navale et l’École nationale supérieure maritime, comme nous l’avions précisé ici.

P.S. 2 : Lire également l’article https://www.letelegramme.fr/finistere/brest/le-depute-jean-charles-larsonneur-appuie-la-candidature-de-brest-pour-le-centre-national-de-cybersecurite-maritime-17-01-2020-12480444.php