L’armateur MSC victime d’une probable cyberattaque.

D’après Le Marin et d’autres sites Internet, l’armateur MSC (Mediterranean Shipping Company), numéro 2 du trafic de conteneurs par voie maritime aurait été victime d’une cyberattaque, le privant de son système de réservation électronique appelé “MyMSC”. Cette attaque tombe au plus mal, en parallèle de la pandémie causée par le COVID 19.

Les services de courrier électroniques semblent toujours fonctionnels, mais la société a encore donné peu d’informations, hormis le fait que cela soit probablement lié à une panne réseau dans l’un des datacenters de la société.

We are sorry to inform you that https://t.co/gg5flboFcj and myMSC are currently not available as we’ve experienced a network outage in one of our data centers. We are working on fixing the issue.— MSC Cargo (@MSCCargo) April 10, 2020

Twitter/@MSCCargo

Après plusieurs heures d’enquête, l’armateur a confirmé ce matin que l’évènement était lié à leur siège social à Genève uniquement. A titre de mesures préventives, leurs serveurs suisses ont donc été éteints et une équipe d’experts est au travail pour permettre le retour à la normale.

UPDATE on network outage issue affecting http://msc.com and myMSC.   After several hours of investigations, we can now confirm that the issue is related to our Headquarters in Geneva only.

Twitter/@MSCCargo

Publication du rapport annuel d’Armateurs de France

Le rapport annuel de l’organisation professionnelle Armateurs de France vient de paraître. Cette organisation joue notamment le rôle de porte-parole des acteurs du transport et des services maritimes français.

Ce rapport évoque à plusieurs reprises le sujet de la cybersécurité maritime. En voici les principaux points :

  1. Page 17, un encart intéressant sur le partenariat stratégique signé entre le groupe Bourbon et le Bureau Veritas concernant l’automatisation des navires du groupe. Frédéric Moulin, vice-président Innovation & Standards opérationnels chez Bourbon précise que « dans les services maritimes, les technologies connectées sont sources de réduction des coûts d’exploitation tout en maintenant les standards de qualité et de sécurité les plus élevés ». Dans ce contexte, la cybersécurité est bien entendu une menace particulière à prendre en compte. BV a fait appel à une filiale d’Airbus pour identifier et réduire les risques cyber, notamment ceux liés à la communication entre les navires et les infrastructures à terre. On rappelle que Bureau Veritas propose une certification cybersécurité des navires
  2. Page 25, le rapport ouvre un chapitre particulier sur la cybersécurité. Après avoir rappelé la numérisation croissante du secteur, le rapport rappelle le caractère indispensable de la mise en œuvre de mesures de cybersécurité. Armateurs de France rappelle ensuite sa participation, au sein du Comité France Maritime, aux travaux codirigés par le Secrétariat Général de la Mer (SGMER). Le rapport rappelle la création du Conseil Cybersécurité du Monde Maritime (C2M2), qui aura pour mission la sécurisation du domaine maritime, l’identification des projets industriels, l’accompagnement des mesures de prévention, de formation et de cyber-résilience. Par ailleurs, le rapport souligne également la création, annoncée lors du CIMER et déjà analysée sur ce site, d’un centre national de coordination de la cybersécurité pour le maritime, dont les missions n’ont, à notre connaissance, pas été publiquement annoncées.
  3. Enfin, page 38, le rapport donne la parole à Thibaut Marrel, spécialiste en cyber-sécurité à l’Agence nationale de sécurité des systèmes d’information (ANSSI), sur l’application de la directive européenne NIS (Network & Information Security) au secteur maritime français. Les sociétés de transport de passagers et de fret, dont les principales seront concernées par l’application de cette directive en raison de leur statut d’Opérateur de Service Essentiel (OSE). Thibaut Marrel rappelle que ces compagnies auront l’obligation de recenser et de déclarer à l’ANSSI leurs systèmes d’information les critiques, d’y appliquer des règles de cyber-sécurité et de déclarer les incidents après de l’agence. Ainsi, T. Marrel rappelle que 23 règles de sécurité devront ainsi être appliquées dans un délai allant de trois mois à trois ans. Ces mesures, bonnes pratiques d’hygiène informatique, mais aussi techniques et organisationnelles, sont détaillées dans l’arrêté relatif à la cyber-sécurité applicable aux OSE. Les navires sont (hélas) explicitement exclus du périmètre d’application de la directive, alors que leur cyber-sécurité est pourtant essentielle, comme rappelé à plusieurs reprises sur ce site.

Parution de la 3è édition du guide de bonnes pratiques pour l’industrie maritime dans le domaine cyber

Il existe de nombreux guides de recommandations pour la mise en œuvre de mesures cyber dans le monde maritime. Un peu trop, et inégaux en qualité, ce qui rend parfois les choses un peu illisibles (mettons-nous à la place du marin, de l’armateur, qui doivent les comprendre et les mettre en œuvre…).

Parmi ces guides, un fait malgré tout référence, notamment par le nombre d’associations et d’acteurs d’importance qui y ont participé (21) mais aussi parce qu’il parle correctement au monde maritime et du monde maritime, en adaptant les menaces cyber à ce secteur si particulier. Ce guide, “The Guidelines on Cyber Security Onboard Ships”, vient de paraître sous sa 3ème édition.

Il est le fruit d’un travail au longs cours entre associations d’armateurs et d’industriels du secteurs, notamment BIMCO, CLIA, ICS, INTERCARGO, INTERMANAGER, INTERTANKO, l’IUMI, l’OCIMF et le WORLD SHIPPING COUNCIL.

Au-delà des recommandations classiques que l’on trouve dans ce type d’ouvrage, deux points de lecture méritent une attention particulière : la publication de nouveaux incidents ayant touché le secteur maritime, et la bonne prise en compte des spécificités du secteur.


Concernant les incidents, le guide liste un certain nombre d’évènements ayant touché le secteur maritime, essentiellement à titre d’exemple. Au-delà des incidents publics déjà connus pour lesquels j’avais déjà rédigé une première liste j’en ai retenu quelques évocateurs…

Deux incidents liés directement à des supports USB, qui sont fréquemment utilisés pour mettre à jour des systèmes, réaliser des opérations de maintenance, ou transférer des fichiers de ou vers des systèmes marétiques “hors réseau” :

  • l’infection de navires par un, voire deux (!) rançongiciels, mais dont l’origine provenait de partenaires (industriels ou commerciaux), et non d’une négligence due à l’équipage : ce point montre bien l’importance de mesures de protection bilatérales avec l’ensemble des intervenants extérieurs à l’entreprise et au navire. Il est intéressant de noter que, dans un des cas, le propriétaire a payé la rançon. A l’origine de ces infections, le rapport indique notamment l’absence / la faiblesse de mots de passe sur les outils de télémaintenance des navires, voire l’existence de comptes non documentés.
  • le second concerne un avitailleur, qui a demandé à accéder à la salle des machines pour imprimer des documents à signer. Sa clé USB, infectée, a compromis une partie du réseau “bureautique” du navire sans toucher aux systèmes de contrôle commande, probablement isolés au niveau réseau (ouf). Le second concerne la découverte, lors d’un test d’intrusion, de l’existence d’un code malveillant sur un système non connecté à Internet mais qui était conçu pour l’être. Le code, qui avait été introduit par support USB, était présent dans le système depuis… 875 jours (infection lors de  l’installation du logiciel) ! Amis pentesteurs : vous avez de l’avenir dans la marétique !

Et un joli chapelet d’incidents sur les ECDIS (Electronic Chart Display and Information System). Cela fait partie des évènements redoutés que j’avais cité, donc c’est tout sauf une surprise. Par contre, on voit qu’une confiance exagérée dans le numérique (l’ECDIS) sans disposer d’un système éprouvé en secours (les cartes papiers) peut engager la résilience et la disponibilité du navire :

  • l’infection virale d’un système ECDIS  qui a retardé la mise à l’eau d’un nouveau navire (le navire n’avait pas de carte papier de secours…).  Le guide précise aussi que ni le capitaine ni l’équipage du navire n’avaient identifié le problème comme ayant une origine cyber. Il a fallu un temps important à un technicien dépêché sur place pour identifier que les deux réseaux ECDIS du navire étaient corrompus. Le coût de l’incident est estimé à plusieurs centaines de milliers de dollars (aux US).
  • Dans une zone maritime particulièrement dense, un navire a perdu tous ses moyens de navigation à la mer, qui plus est en conditions météos dégradées (mauvaise visibilité). Il a dû se limiter à la navigation au radar et à la carte papier pendant deux jours avant d’arriver au port. La défaillance de l’ECDIS est due à un système d’exploitation antédiluvien. Durant l’escale suivante, un intervenant a réalisé la mise à jour du système de navigation ECDIS. Mais, en raison de l’obsolescence avancée de l’OS, le nouveau logiciel n’a pas pu fonctionner : le navire a dû rester à quai jusqu’à ce que de nouvelles consoles ECDIS puissent être déployées, entraînant un retard et un impact financier important.
  • Toujours de l’ECDIS : en présence d’un pilote à bord, l’ECDIS et le VDR (Voyage Data Recorder, la “boite noire” du navire) dysfonctionnent, entraînant une certaine désorganisation de la passerelle. Heureusement, le capitaine et le pilote, expérimentés, ont pu ramener l’équipage sur une navigation par moyens dégradés (radar, veille optique). Quand les ordinateurs ont redémarré, clairement là-aussi obsolètes, le capitaine a fait savoir au pilote que ces problèmes étaient fréquents et que ses demandes d’intervention avaient été refusées par le propriétaire du navire.

Le reste du document commence à afficher une bien meilleure maturité que les éditions précédentes, que ce soit dans la gestion des risques, les relations entre les différents acteurs (propriétaire, armateur, équipage, sous-traitants, services logistiques en escale…), BYOD, la séparation IT/OT… Deux petites déceptions seulement :

  • une certaine vision “yaka” : mettre des pare-feux et des NIDS à bord, c’est sympa, mais encore faut-il que quelqu’un puisse les exploiter;
  • conséquence, ou cause, le secteur n’affiche pas encore une ambition suffisante sur la cybersurveillance maritime (désolé, c’est mon dada).

Bref, un “must read” !

Les incidents (connus…)

Cet article liste près de 80 incidents publics ayant impacté, délibérément ou non, le secteur maritime au cours des vingt dernières années. Il ne se veut pas exhaustif, mais n’hésitez pas à me faire savoir si vous disposez d’autres informations (publiques et corroborées !). L’idée n’étant pas de montrer une entreprise ou un état du doigt, mais de vous sensibiliser aux incidents ayant déjà eu lieu, et leurs conséquences lorsqu’elles sont connues. J’en rajouterai d’autres à l’occasion. Les attributions et les sources sont à prendre avec des pincettes, comme toujours, de même que l’augmentation du nombre public d’incidents. J’y inclue progressivement aussi les coupures de câbles sous-marins.

Pourquoi est-il aussi difficile d’obtenir une vision exhaustive des incidents ?

  1. Parce que leur déclaration (publique ou non) n’est pas obligatoire dans de nombreux pays, et qu’il n’y a souvent pas d’organisme centralisateur.
  2. Parce que ça fait chuter l’action et l’image de l’entreprise.
  3. Parce que l’acception de cyberattaque varie (certains considèrent un ping d’une adresse IP inconnue comme une cyberattaque). Le Grand port maritime de Marseille indiquait ainsi être l’objet de 11 000 cyberattaques par semaine.
  4. Parce que évènement cyber ne veut pas dire cyberattaque (une interruption de service liée à une perte informatique est pourtant un incident de cybersécurité).

Attention aussi aux raccourcis : un chercheur qui montre des vulnérabilités ne veut pas systématiquement dire que c’est un pirate et qu’il l’a fait “pour de vrai”. Et il y a aussi de nombreuses approximations et raccourcis. Dans la marétique, voici un bel exemple parmi d’autres, parfaitement analysé.

2020 :

2019 :

2018 :

2017 :

  • 29/11 : l’entreprise britannique Clarkson, acteur majeur du monde maritime outre-Manche, est victime d’une cyberattaque. L’accès à distance aux serveurs de la compagnie a été été rendue possible par l’utilisation d’un compte d’accès qui a ensuite été désactivé. Peu d’informations ont été communiquées sur le volume de données qui ont pu être exfiltrées. L’entreprise a émis par la suite un nouveau communiqué, analysé ici.
  • 26/10 : la société IOActive émet une alerte relative à une vulnérabilité sur certains terminaux par satellite de la société Inmarsat (identifiants codés en dur, injection SQL). Pas d’information sur l’exploitation de cette vulnérabilité. Voir la réponse d’Inmarsat.
  • 16/10 : une campagne de cyberattaque vise le monde maritime et de la défense, aux États-Unis et en Europe de l’ouest. L’organisation à l’origine de la campagne de harponnage, appelée Leviathan, s’intéresse de longue date au secteur maritime, à celui de la défense, et notamment à la construction navale.
  • Juillet : la société “BW Group”, acteur majeur de l’industrie pétrolière, est victime d’une cyberattaque. Il s’agit a priori d’un accès à distance, et non d’un rançongiciel.
  • Juillet : le câble sous-marin Eastern Africa Submarine System (EASSy), unique câble raccordant la Somalie au reste du monde, est coupé pendant trois semaines après qu’un porte-containers l’ait involontairement coupé. Coût estimé des pertes économiques : 9 M€ par jour (la moitié du PIB journalier du pays).
  • 13/07 : le roulier Siem Cicero est victime d’une avarie de barre et s’échoue dans la rivière Ems (en Allemagne) après avoir dévié de sa route. L’origine de l’avarie est liée à une erreur logicielle. Deux remorqueurs ont été dépêchés pour rapatrier le navire dans le port d’Emden. Diverses vérifications menées par des plongeurs n’ont pas mis en avant d’impact sur la coque. L’erreur logicielle (de conception, le navire ayant été lancé dix jours auparavant seulement) a été corrigée et le navire a ensuite pu reprendre sa route vers Halifax.
  • 30/06 : le port de Rotterdam est à son tour touché par NotPetya. Même si ce n’est pas clairement précisé, on pense à Maersk. A noter que le port de Rotterdam a une belle initiative, celle d’avoir créé un responsable de la cybersécurité du port et une hotline. En 2020, l’Amiral Lunday, reponsable du Coast Guard Cyber Command reconnaîtra lors d’une conférence que plusieurs ports américains ont été aussi touchés par NotPetya.
  • Juin : l’armateur Maersk, est victime du ver informatique NotPetya, qui a touché de nombreux pays et entreprises de par le monde. Les conséquences pour le célèbre armateur ont été importantes : les ports de Rotterdam, New York, Mumbai et d’Argentine ont été fermés, en raison de l’impossibilité d’embarquer des containers. Les pertes sont estimées à 300 M$. L’armateur a du réinstaller la bagatelle de 4 000 serveurs, 45 000 PC et 2500 applications… en allant jusqu’à chercher une copie de son Active Directory au… Ghana en jet privé… L’action, en bourse, a temporairement perdu 15%. Lire également cet article sur la situation vécue de l’intérieur.
  • Mai : le groupe APT.32 mène depuis plusieurs années (2014 ?) des campagnes d’attaques visant notamment le secteur naval. Doux nom de code de l’opération : Ocean Lotus.
  • 69% des armateurs danois ont été touchés par un évènement cyber au cours de l’année 2017.

2016 :

  • Avril (encore) : les autorités de Corée du Sud font rentrer quelques 280 navires à quai après qu’ils aient constaté des difficultés majeures avec leurs systèmes de navigation (brouillage/leurrage GPS ?).
  • Avril : Daewoo Shipbuilding est victime d’une cyberattaque : exfiltration de données sensibles, notamment des plans de navires de guerre. La Corée du Nord est montrée du doigt.
  • 02/03 : le centre anti-piraterie du Golfe de Guinée ((Maritime Trade Information Sharing Center, Gulf of Guinea (MTISC-GoG)) est touché par une faille a priori exploitée pour du vol de données. Information donnée par le Maritime Executive, mais démentie par le centre.
  • Les services administratifs du port d’Oakland sont touchés par une attaque en déni de service. Peu d’informations officielles.
  • Un armateur fait l’objet d’une cyberattaque sur plusieurs mois, permettant aux pirates d’identifier des containers d’intérêt et d’en détourner le contenu.
  • Des adresses de courriel d’un affréteur sont piratées. Les fonds normalement virés pour payer l’agent ont en fait été versés vers un compte bancaire au Nigéria. Le navire a été retenu au port car l’agent n’avait pas reçu à temps les fonds nécessaires pour autoriser le départ du navire du port.
  • Des adresses de courriel d’un agent sont piratées. Un courriel est envoyé à l’armateur pour réaliser un virement vers un nouveau compte bancaire. L’armateur ne vérifie pas et réalise le virement. La perte totale est de 500 000$ (deux virements ont donc été nécessaires !).
  • Voir l’enquête réalisée par IHS et BIMCO sur les incidents cyber de l’année au sein du secteur au cours de l’année 2016.

2015 :

  • Octobre : l’entreprise bretonne Sabella qui est touchée. Son hydrolienne, immergée à 55 mètres à proximité de l’île d’Ouessant, a dû être stoppée pendant près de 15 jours, suite à une attaque par rançongiciel (encore) sur l’ordinateur de contrôle de l’hydrolienne. Cet ordinateur assurait la liaison satellitaire entre l’hydrolienne et la ville de Quimper. Cependant, l’hydrolienne était encore en phase de tests et l’incident n’a donc pas eu d’impact sur l’approvisionnement électrique de l’île d’Ouessant. La rançon, dont on sait qu’elle était d’un montant de 4 000 $, n’a pas été réglée par l’entreprise (ce qui est une bonne chose et conforme aux recommandations de l’ANSSI sur le sujet). Les quinze jours d’interruption s’expliquent donc par la durée nécessaire à la restauration du système (c’est long !).
  • Août : des criminels dérobent environ 644 000$ à un armateur chypriote, basé à Limassol. La compagnie a reçu un courriel provenant d’un fournisseur pétrolier situé en Afrique, demandant à ce que l’argent prévu soit viré sur un autre compte que le compte habituel. La compagnie accepta, pour s’apercevoir, avec retard, de la fraude.
  • Une unité mobile de forage offshore (Mobile Offshore Drilling Unit) a été infectée par un code malveillant, qui a impacté le système de positionnement dynamique, nécessitant la mise en place d’une procédure d’urgence pour éviter un accident.

2014 :

2013 :

2012 :

  • Septembre : sous les doux noms de Sneaky Panda, The Elderwood Gang. The Beijing Group, on trouve une même tentative de cyberattaque visant essentiellement les États-Unis, et notamment le secteur naval, essentiellement par harponnage.
  • Août : la compagnie pétrolière Saudi Aramco fait les frais du code malveillant Shamoon. Le contenu de plus de 35 000 ordinateurs a été purement et simplement effacé. 5 mois de reconstruction. La compagnie, incapable de facturer le pétrole quittant ses raffineries, a dû en laisser partir gratuitement. Elle a également causé une pénurie temporaire en disques durs, car elle en a commandé 35 000 d’un coup !

2011-2013 :

Piratage sur deux ans du port d’Anvers où des trafiquants de drogue réussissent à détourner le fonctionnement du système d’aiguillage des conteneurs à leur profit pour éviter que les conteneurs transportant de la drogue ne soient contrôlés par les douanes.

2011 :

  • 13-14/12/2011 :  arrêt des transactions commerciales sur port de Rotterdam, en raison d’un arrêt du système d’information des Douanes. Impossibilité de faire appareiller les navires et de faire quitter les camions du port.
  • 19/09 : le plus important industriel de défense japonais, Mitsubishi Heavy Industries Ltd, est l’objet d’une cyberattaque, ayant eu pour conséquence un accès aux ordinateurs de l’entreprise. L’entreprise a reconnu dans un communiqué que des informations pourraient avoir été volées à cette occasion. Le journal Yomiuri parle de 80 ordinateurs infectés par un code malveillant au siège tokyoïte de l’entreprise, ainsi que dans des sites de conception et de recherché, notamment les chantiers navals de Kobe et Nagasaki, ainsi qu’à Nagoya. Le chantier naval de Kobe construit de sous-marins et des composants de centrales nucléaires, celui de Nagasaki des navires de surface. Quant à Nagoya, l’usine fabrique des missiles et des fusées.
  • Août : l’armateur iranien IRISL a été victime d’une cyberattaque. Peu de détails, mais les pertes auraient été très importantes (perte de données, pertes financières…).
  • Mai : un pirate revendique un accès à certains serveurs du département de la marine américaine.

2010 :

  • une plateforme pétrolière, transférée de son site de construction en Corée du sud vers son site d’exploitation a été compromise par plusieurs codes malveillants. La plateforme a dû être arrêtée pendant 19 jours le temps de traiter les codes, qui a priori ont touché des systèmes sensibles de la plateforme.

2009 :

  • Mars : un ancien employé pirate des plateformes offshore de son entreprise en guise de représailles. Des milliers de dollars de dégâts, mais fort heureusement pas d’impact environnemental.
  • 12/01 : le réseau interne de la Marine nationale française est touché par le virus Conficker. Le nécessaire traitement de la diffusion du code malveillant nécessite l’isolement de plusieurs sous-réseaux du système.

2006 :

2002 :

  • Avril : un groupe de pirates informatiques se faisant appeler “Dymanic Duo” parvient à s’introduire dans des systèmes informatiques du commandement de l’U.S. Navy (parmi d’autres). Les pirates réalisent un défaçage du site de l’U.S. Navy, pour montrer les failles dans la sécurité du site. Un industriel de défense développant un site web pour l’U.S. Navy éteint son réseau après que les pirates aient eu notamment accès aux mots de passe des employés. Les page du site font là aussi l’objet d’un défaçage, de l’information est rendue publique et des messages revendiquent à nouveau l’action sous le nom de “Dynamic Duo”.

1998 :