Conférence CLUSIF : #Panocrim 2018 – Des attaques au cœur des métiers – Transport maritime

A l’occasion de la conférence du CLUSIF Panocrim 2018, AturysCS dresse un rapide panorama des menaces pesant sur le secteur maritime. Au programme : les vulnérabilités SATCOM et un aperçu des risques liées à la prise de contrôle de systèmes industriels.

Retrouvez l’intervention complète ci-dessous.

https://clusif.fr/content/uploads/2019/01/03_Des-attaques-au-c%C5%93ur-des-m%C3%A9tiers-Transport-maritime_THOMAS.pdf

Politique de confidentialité

Qui sommes-nous ?

L’adresse de notre site Internet est : https://cybermaretique.fr.

Utilisation des données personnelles collectées

Commentaires

Quand vous laissez un commentaire sur notre site web, les données inscrites dans le formulaire de commentaire, mais aussi votre adresse IP et l’agent utilisateur de votre navigateur sont collectés pour nous aider à la détection des commentaires indésirables.

Une chaîne anonymisée créée à partir de votre adresse de messagerie (également appelée condensat) peut être envoyée au service Gravatar pour vérifier si vous utilisez ce dernier. Les clauses de confidentialité du service Gravatar sont disponibles ici : https://automattic.com/privacy/. Après validation de votre commentaire, votre photo de profil sera visible publiquement à coté de votre commentaire.

Médias

Si vous êtes un utilisateur enregistré et que vous téléversez des images sur le site web, nous vous conseillons d’éviter de téléverser des images contenant des données EXIF de coordonnées GPS. Les visiteurs de votre site web peuvent télécharger et extraire des données de localisation depuis ces images.

Formulaires de contact

Le site dispose d’un formulaire de contact dont l’objectif unique est de vous permettre de rentrer en contact avec son auteur. Pour l’utilisation de ce formulaire de contact, vous devez remplir votre nom, une adresse de courriel (on l’espère valide), un objet, votre message (en évitant le spam 😉 ) et en acceptant la présente politique de confidentialité des données. Ces informations sont immédiatement transmises par courriel à l’auteur du site et ne sont pas stockées par la suite sur le site cybermaretique.fr .

Cookies

Si vous déposez un commentaire sur notre site, il vous sera proposé d’enregistrer votre nom, adresse de messagerie et site web dans des cookies. C’est uniquement pour votre confort afin de ne pas avoir à saisir ces informations si vous déposez un autre commentaire plus tard. Ces cookies expirent au bout d’un an.

Si vous vous rendez sur la page de connexion, un cookie temporaire sera créé afin de déterminer si votre navigateur accepte les cookies. Il ne contient pas de données personnelles et sera supprimé automatiquement à la fermeture de votre navigateur.

Lorsque vous vous connecterez, nous mettrons en place un certain nombre de cookies pour enregistrer vos informations de connexion et vos préférences d’écran. La durée de vie d’un cookie de connexion est de deux jours, celle d’un cookie d’option d’écran est d’un an. Si vous cochez « Se souvenir de moi », votre cookie de connexion sera conservé pendant deux semaines. Si vous vous déconnectez de votre compte, le cookie de connexion sera effacé.

En modifiant ou en publiant une publication, un cookie supplémentaire sera enregistré dans votre navigateur. Ce cookie ne comprend aucune donnée personnelle. Il indique simplement l’identifiant de la publication que vous venez de modifier. Il expire au bout d’un jour.

Contenu embarqué depuis d’autres sites

Les articles de ce site peuvent inclure des contenus intégrés (par exemple des vidéos, images, articles…). Le contenu intégré depuis d’autres sites se comporte de la même manière que si le visiteur se rendait sur cet autre site.

Ces sites web pourraient collecter des données sur vous, utiliser des cookies, embarquer des outils de suivis tiers, suivre vos interactions avec ces contenus embarqués si vous disposez d’un compte connecté sur leur site web.

Statistiques et mesures d’audience

Ce site utilise un outil de mesure d’audience qui a été choisi pour sa conformité en termes de protection des données personnelles. Cet outil collecte :

  • les trois premiers octets de votre adresse IP
  • les dates et heures de connexion
  • les pages visitées
  • les informations techniques transmises par votre navigateur et votre système d’exploitation (généralement : le type de système d’exploitation et le nom et la version de votre navigateur, la résolution de votre affichage)

Utilisation et transmission de vos données personnelles

Les données personnelles sont utilisées dans deux cas :

  • la mesure d’audience,
  • le contact entre vous et moi par le formulaire mentionné ci-dessus. Dans ce cas, votre adresse de courriel peut être utilisée par mes soins pour vous contacter, mais elle n’est pas utilisée à d’autres fins.

Durées de stockage de vos données

Si vous laissez un commentaire, le commentaire et ses métadonnées sont conservés indéfiniment. Cela permet de reconnaître et approuver automatiquement les commentaires suivants au lieu de les laisser dans la file de modération.

Les droits que vous avez sur vos données

Si vous avez un compte ou si vous avez laissé des commentaires sur le site, vous pouvez demander à recevoir un fichier contenant toutes les données personnelles que nous possédons à votre sujet, incluant celles que vous nous avez fournies. Vous pouvez également demander la suppression des données personnelles vous concernant. Cela ne prend pas en compte les données stockées à des fins administratives, légales ou pour des raisons de sécurité.

Transmission de vos données personnelles

Les commentaires des visiteurs peuvent être vérifiés à l’aide d’un service automatisé de détection des commentaires indésirables.

Informations de contact

Vous pouvez nous contacter en utilisant le formulaire suivant : https://cybermaretique.fr/contact/ .

Informations supplémentaires

Ce site a pour ambition de respect vos données privées : il n’utilise pas de régie publicitaire, n’inclue pas de boutons pour les réseaux sociaux, limite les liens externes au strict nécessaire et n’utilise des cookies qu’à des fins techniques (administration du site) et de mesure d’audience. Conformément aux recommandations de la CNIL, l’outil de mesure d’audience se veut respectueux de vos données :

  • il vous permet de refuser la capture et le stockage des informations techniques fournies par votre navigateur lors de votre accès au site,
  • les données collectées ne sont pas recoupées avec d’autres traitements,
  • le cookie déposé ne sert qu’à la production de statistiques anonymes,
  • le cookie ne permet pas de suivre votre navigation sur d’autres sites,
  • l’adresse IP permettant de vous géolocaliser l’internaute n’est pas plus précise que l’échelle de la ville,
  • les données de fréquentation ne sont pas conservées au conservés au-delà de 13 mois.

Reportage sur un bac autonome en Finlande

Ci-dessous vous trouverez un reportage tourné par la chaîne BBC en Finlande à bord d’un navire autonome (un vrai, pas une animation 3D). Très intéressant, puisque cela risque de devenir une réalité pour bientôt.

La journaliste évoque le sujet cyber vers 2’30, en précisant que « si quelque chose va mal avec le navire autonome, un poste de commande [à terre] comme celui-ci permettra de prendre contrôle du navire depuis la terre et le mettre en sécurité, où qu’il soit dans le monde. Rolls -Royce, qui est à l’origine de la technologie pense que, dans moins de 20 ans, nous verrons des navires complètement autonomes traverser nos océans. Mais, comme avec toute technologie connectée, une des grandes inquiétudes est la technologie. » Oskar Levander, le vice-président innovation de Rolls-Royce précise ensuite « Ce que nous avons fait est que nous avons réalisé de gros efforts en termes de sécurité dès le début du développement de navire autonome. Nous pouvons pouvons faire en sorte que l’accès au navire pour des pirates [il ne précise plus s’il s’agit de cyber ou non, d’ailleurs, c’est symptômatique] soit difficile, mais probablement qu’à un moment donné ils arriveront à entrée sur le navire. Ce que l’on fait par la suite est, bien entendu, de ne pas leur permettre de prendre contrôle du navire. En leur refusant l’accès au système, ils ne peuvent pas le piloter. Donc, en fait, leur seule option est de désactiver la machine pour stopper le navire. Et avoir un navire qui flotte au milieu de l’océan sans propulsion n’est pas facile. »


Parution de « Cybersécurité et Politiques Publiques » sur la cybersécurité maritime

Le CyberCercle vient de publier le premier numéro de Cybersécurité et Politiques Publiques.

Je me réjouis personnellement que cette première lettre s’intéresse à ce sujet passionnant qu’est la cybersécurité maritime, avec des prises de paroles de personnalités du secteur.

Au sommaire de cette lettre :

  • Un éditorial par Eric BOTHOREL, député des Côtes d’Armor et président du groupe d’études Economie Numérique de la donnée, de la Connaissance et de l’Intelligence artificielle
  • Une intervention de Vincent BOUVIER, Secrétaire Général de la Mer
  • Thibault MARREL, coordinateur sectoriel de l’ANSSI, qui évoque la vision de l’Agence sur ce secteur en pleine transformation
  • Un article de Bruno BENDER, coordinateur cybersécurité maritime, vice-président du secrétariat général Mer
  • Deux articles de la Marine nationale sur le maintien en conditions de sécurité, l’entraînement et la cyber-surveillance dans un contexte naval
  • Une intervention de Stéphane MEYNET, président fondateur, CERTitude Numérique, sur la cybersécurité portuaire et notamment les systèmes à automates.
  • Vincent DENAMUR, sous-directeur de la sécurité maritime, direction des Affaires maritimes, qui évoque les sujets liés notamment à l’application de la réglementation dans le secteur maritime
  • François LAMBERT, délégué général du GICAN, évoque les actions du groupe dans le domaine de la cybersécurité maritime
  • Franck GICQUEL, chargé de mission, cybermalveillance.gouv.fr, rappelle le rôle de la plateforme et son intérêt pour le secteur naval.F

A télécharger sur le site du cybercercle.

Parution de la 3è édition du guide de bonnes pratiques pour l’industrie maritime dans le domaine cyber

Il existe de nombreux guides de recommandations pour la mise en œuvre de mesures cyber dans le monde maritime. Un peu trop, et inégaux en qualité, ce qui rend parfois les choses un peu illisibles (mettons-nous à la place du marin, de l’armateur, qui doivent les comprendre et les mettre en œuvre…).

Parmi ces guides, un fait malgré tout référence, notamment par le nombre d’associations et d’acteurs d’importance qui y ont participé (21) mais aussi parce qu’il parle correctement au monde maritime et du monde maritime, en adaptant les menaces cyber à ce secteur si particulier. Ce guide, « The Guidelines on Cyber Security Onboard Ships », vient de paraître sous sa 3ème édition.

Il est le fruit d’un travail au longs cours entre associations d’armateurs et d’industriels du secteurs, notamment BIMCO, CLIA, ICS, INTERCARGO, INTERMANAGER, INTERTANKO, l’IUMI, l’OCIMF et le WORLD SHIPPING COUNCIL.

Au-delà des recommandations classiques que l’on trouve dans ce type d’ouvrage, deux points de lecture méritent une attention particulière : la publication de nouveaux incidents ayant touché le secteur maritime, et la bonne prise en compte des spécificités du secteur.


Concernant les incidents, le guide liste un certain nombre d’évènements ayant touché le secteur maritime, essentiellement à titre d’exemple. Au-delà des incidents publics déjà connus pour lesquels j’avais déjà rédigé une première liste j’en ai retenu quelques évocateurs…

Deux incidents liés directement à des supports USB, qui sont fréquemment utilisés pour mettre à jour des systèmes, réaliser des opérations de maintenance, ou transférer des fichiers de ou vers des systèmes marétiques « hors réseau » :

  • l’infection de navires par un, voire deux (!) rançongiciels, mais dont l’origine provenait de partenaires (industriels ou commerciaux), et non d’une négligence due à l’équipage : ce point montre bien l’importance de mesures de protection bilatérales avec l’ensemble des intervenants extérieurs à l’entreprise et au navire. Il est intéressant de noter que, dans un des cas, le propriétaire a payé la rançon. A l’origine de ces infections, le rapport indique notamment l’absence / la faiblesse de mots de passe sur les outils de télémaintenance des navires, voire l’existence de comptes non documentés.
  • le second concerne un avitailleur, qui a demandé à accéder à la salle des machines pour imprimer des documents à signer. Sa clé USB, infectée, a compromis une partie du réseau « bureautique » du navire sans toucher aux systèmes de contrôle commande, probablement isolés au niveau réseau (ouf). Le second concerne la découverte, lors d’un test d’intrusion, de l’existence d’un code malveillant sur un système non connecté à Internet mais qui était conçu pour l’être. Le code, qui avait été introduit par support USB, était présent dans le système depuis… 875 jours (infection lors de  l’installation du logiciel) ! Amis pentesteurs : vous avez de l’avenir dans la marétique !

Et un joli chapelet d’incidents sur les ECDIS (Electronic Chart Display and Information System). Cela fait partie des évènements redoutés que j’avais cité, donc c’est tout sauf une surprise. Par contre, on voit qu’une confiance exagérée dans le numérique (l’ECDIS) sans disposer d’un système éprouvé en secours (les cartes papiers) peut engager la résilience et la disponibilité du navire :

  • l’infection virale d’un système ECDIS  qui a retardé la mise à l’eau d’un nouveau navire (le navire n’avait pas de carte papier de secours…).  Le guide précise aussi que ni le capitaine ni l’équipage du navire n’avaient identifié le problème comme ayant une origine cyber. Il a fallu un temps important à un technicien dépêché sur place pour identifier que les deux réseaux ECDIS du navire étaient corrompus. Le coût de l’incident est estimé à plusieurs centaines de milliers de dollars (aux US).
  • Dans une zone maritime particulièrement dense, un navire a perdu tous ses moyens de navigation à la mer, qui plus est en conditions météos dégradées (mauvaise visibilité). Il a dû se limiter à la navigation au radar et à la carte papier pendant deux jours avant d’arriver au port. La défaillance de l’ECDIS est due à un système d’exploitation antédiluvien. Durant l’escale suivante, un intervenant a réalisé la mise à jour du système de navigation ECDIS. Mais, en raison de l’obsolescence avancée de l’OS, le nouveau logiciel n’a pas pu fonctionner : le navire a dû rester à quai jusqu’à ce que de nouvelles consoles ECDIS puissent être déployées, entraînant un retard et un impact financier important.
  • Toujours de l’ECDIS : en présence d’un pilote à bord, l’ECDIS et le VDR (Voyage Data Recorder, la « boite noire » du navire) dysfonctionnent, entraînant une certaine désorganisation de la passerelle. Heureusement, le capitaine et le pilote, expérimentés, ont pu ramener l’équipage sur une navigation par moyens dégradés (radar, veille optique). Quand les ordinateurs ont redémarré, clairement là-aussi obsolètes, le capitaine a fait savoir au pilote que ces problèmes étaient fréquents et que ses demandes d’intervention avaient été refusées par le propriétaire du navire.

Le reste du document commence à afficher une bien meilleure maturité que les éditions précédentes, que ce soit dans la gestion des risques, les relations entre les différents acteurs (propriétaire, armateur, équipage, sous-traitants, services logistiques en escale…), BYOD, la séparation IT/OT… Deux petites déceptions seulement :

  • une certaine vision « yaka » : mettre des pare-feux et des NIDS à bord, c’est sympa, mais encore faut-il que quelqu’un puisse les exploiter;
  • conséquence, ou cause, le secteur n’affiche pas encore une ambition suffisante sur la cybersurveillance maritime (désolé, c’est mon dada).

Bref, un « must read » !

Les super-yachts : une cible facile pour les pirates des temps modernes ?

Les nouveaux « superyachts » sont à la mode (même si je n’en ai pas personnellement) et, logiquement, ils n’échappent évidemment pas à la numérisation du secteur maritime, avec toute la puissance financière propre à ce secteur de l’ultra-luxe. Autant dire qu’il n’y a pas vraiment de limite.

Connexions satellites multi-opérateurs à très haut débit, relais GSM, 4G et plus, Wifi, vision du navire sous tous les angles à l’aide de webcams, système de distraction ultra-perfectionné, systèmes d’alarmes, passerelle et machine dernier cri, automatisation poussée, ces navires ne sont cependant pas conçus que pour le plaisir… La plupart des propriétaires et locataires de ces yachts y déportent une partie de leur entreprise : il faut donc voir le yacht comme une extension de celle-ci, mais bien souvent beaucoup plus vulnérable, à savoir sans tous les raffinements cyber que l’entreprise a (ou pas) et avec des caractéristiques du milieu maritime parfois mal connues par les RSSI.

Les informations personnelles sur l’équipage, l’emploi du navire, son propriétaire, ses habitudes peuvent donc être relativement faciles à obtenir pour suivre toute l’activité du navire et de ses hôtes de luxe (merci l’AIS). Mais c’est surtout la cyber-sécurité des hôtes (et du business sous-jacent) qui est en jeu.

Il n’y a donc guère 36 possibilités pour améliorer rapidement la sécurité de ces yachts :

  1. Il faut sensibiliser l’équipage, l’armateur ET les clients et passagers aux risques et aux bonnes pratiques.
  2. Une attention particulière doit être portée à ces navires en termes de cyber-protection, les deux principaux enjeux étant notamment la sécurité de la vie privée et des réunions commerciales qui pourraient se dérouler à bord et la protection du navire en lui-même, pour éviter toute prise en main à distance. Si vous suivez ce blog, vous avez déjà vu que certaines entreprises se sont spécialisées dans les solutions cyber pour les yachts.
  3. Idéalement, entraîner l’équipage du navire et l’armateur à détecter et réagir en cas d’évènement (mais pour cela encore faut-il les moyens de le détecter).

Dans l’actualité récente, plusieurs articles sont parus sur le sujet. En voici deux :

  • le lancement de la formation « Superyacht Cyber Training course » (SYCT) par JWC Superyachts. Cette formation, labellisée par le GCHQ (rien que ça) est une version spécialisée du cours « Maritime Cyber Security Awareness« . C’est un cours en ligne (avec ses avantages et ses inconvénients) qui répond avec un peu d’avance aux directives de l’IMO qui s’appliqueront en 2021, ainsi que les recommandations de BIMCO. Voir l’article sur superyachtsnews.com.
  • un article soulignant la crainte (donc la relative sensibilisation) des patrons de superyachts sur le risque d’être espionné à distance (en anglais).

Vous pourrez aussi retrouver deux articles plus anciens sur ce blog :

Le comité interministériel pour la mer décide de mesures spécifiques pour la cybermarétique

Le Comité Interministériel pour la MER (CIMER), est une réunion régulière organisée par le SGMer et placée sous la présidence du Premier ministre. Le comité regroupe les grands acteurs et ministères concernés par le secteur maritime et aborde les sujets d’actualité et d’avenir du domaine. Sa dernière édition s’est tenue à Dunkerque le 15 novembre 2018.

Dans le dossier de presse, 82 mesures sont listées. Notre attention a été particulièrement portée sur la mesure n°46 :

« La France prend toute la mesure des enjeux liés à la cybersécurité dans le domaine maritime, à la fois en termes de protection des systèmes d’information et en termes de développement économique d’un secteur et décide ainsi la création d’une commission cybersécurité et la préfiguration d’un centre national de coordination de la cybersécurité pour le maritime. »

Si le dossier de presse ne rentre pas plus dans le détail, on peut comprendre que :

  • la commission cybersécurité aura probablement pour vocation  une réflexion globale sur la menace cyber pouvant peser sur la transformation numérique du secteur ; espérons-en des mesures concrètes.
  • pour le centre national de coordination, là-encore peu d’élément. S’agit-il d’apporter une aide aux armateurs en cas d’évènements ? De conseil ? De réglementation ? De cyber-surveillance ? Affaire à suivre !

Annonce de la création d’un projet de mastère spécialisé en cybermarétique

A l’occasion des Assises de l’économie de la mer, qui ont eu lieu à Brest les 27 et 28 novembre, l’École navale, l’Institut Mines Télécom, l’École Nationale Supérieure des Techniques Avancées Bretagne et l’École Nationale Supérieure Maritime (ENSM) ont annoncé la création d’un projet de mastère spécialisé en cybermarétique (plus précisément, en cyber-sécurité des systèmes maritimes et portuaires).

L’École navale dispose déjà depuis plusieurs années d’une chaire de cyber-défense des systèmes navals, créée en partenariat avec l’Institut Mines Télécom (notamment le Lab-STICC), Thales et Naval Group.

L’ENSTA Bretagne, de son côté, forme entre autres des ingénieurs civils et militaires spécialisés dans le monde maritime, dont les formations disposent de volets liés à la cybersécurité (voir notamment cette fiche de poste). Des doctorants de l’ENSTA Bretagne travaillent également sur le sujet, là encore en relation avec le Lab-STICC de l’IMT.

Pour l’ENSM, la cyber est aussi dans son ADN dans la mesure où elle a développé un certain nombre de formations sur le sujet, notamment par le biais d’un partenariat avec l’ENSTA Bretagne. Enfin, elle a également développé une formation continue sur le sujet dédiée au personnel navigant.

Il était donc logique que ces différentes écoles s’allient pour élaborer cette formation certifiée par la conférence des grandes écoles.

Espérons également que cette formation s’ajoutera à la liste des formations cyber labellisées SecNumEdu par l’ANSSI.

Rappelons-le, la formation d’expert dans le domaine est un besoin criant qui va s’intensifier dans les années à venir : que ce soit pour les smart ports, les installations offshore et, bien entendu, les navires, le numérique est partout ! Dans ce secteur particulièrement stratégique pour les intérêts français, la formation d’experts est donc essentielle pour assurer l’intégrité, la disponibilité et la confidentialité des systèmes de la marétique !

Suivre les nouveautés du site au format RSS

Suite à plusieurs questions de votre part, pour les inconditionnels du RSS et de l’actualité cybermarétique, vous pouvez suivre les nouveautés et actualités du site en suivant le lien RSS suivant : https://cybermaretique.fr/feed/.

Pour ceux qui préfèrent Twitter, je vous rappelle, je suis actif sous le compte @cybermaretique.

Bonne lecture et merci de votre intérêt et de votre fidélité !

Olivier

La Russie suspectée d’avoir brouillé les signaux GPS pendant un exercice majeur de l’OTAN.

Mise à jour du 19 mars 2018.

La BBC nous apprend que la Russie est suspectée d’avoir brouillé le système mondial de positionnement GPS pendant un exercice majeur de l’OTAN, appelé Trident Juncture. Pas vraiment surprenant, c’est une capacité russe connue et déjà suspectée d’avoir été employée à plusieurs reprises. La zone concernée aurait été la Laponie ainsi que les terres situées à proximité de la frontière russe, au nord de la Norvège.

A la fin de l’article, la BBC évoque l’accident survenu à la frégate norvégienne Helge Ingstad, entrée en collision avec un pétrolier au sud de la Norvège, sans cependant oser faire de rapprochement direct entre les deux.

En mars 2019, la Norvège confirme avoir transmis les informations relatives à ce brouillage à la Russie pour investigation.