Le groupe Carnival Corporation & Plc victime d’une attaque par rançongiciel

Carnival, le plus important opérateur du marché des croisières (102 navires, 50% du marché des croisiéristes dans le monde (225 000 croisiéristes à bord par jour !) a déclaré avoir été victime d’une cyberattaque par rançongiciel le 15 août 2020 (1 2). Deux navires du groupe avaient déjà été victimes d’une cyberattaque en mai 2019.

L’attaque, détectée par le groupe, a accédé et chiffré une partie des systèmes d’information du groupe. L’accès non autorisé a aussi entraîné le téléchargement de certains fichiers de données, sans que le groupe n’en précise le type.

Le groupe a lancé une enquête interne, prévenu les forces de l’ordre et devrait déposer plainte. A noter que l’entreprise a fait appel à une expertise externe pour la réponse à incident. En parallèle, le groupe assure avoir mis en œuvre des mesures de confinement et de remédiation pour faire face à l’incident et pour renforcer la sécurité de ses systèmes d’information. Elle travail avec des entreprises reconnues de cybresécurité pour assurer la réponse immédiate à la menace, défendre ses systèmes et conduire la remédiation.

En se basant sur les informations aujourd’hui en sa possession, le groupe pense que l’attaque n’aura pas de conséquences sur ses résultats économiques, ses opérations quotidiennes ni ses résultats financiers. Cependant, il s’attend à ce que cette attaque ait permis l’accès non autorisé à des données personnelles de croisiéristes et d’employés, ce qui pourrait conduire à des plaintes de ces derniers ou des autorités.

Les investigations en cours devraient permettre de déterminer si d’autres portions du système d’information du groupe ont été impactées.

En avril 2020, on se rappelle que le groupe MSC avait été lui aussi touché par une attaque.

900% d’augmentation des attaques cyber sur les systèmes métiers de la marétique

D’après le site anglophone Vanguard, le systèmes d’information OT du monde maritime auraient connu une augmentation des cyberattaques de l’ordre de 900% sur les trois dernières années. On le rappelera, par “OT” on entend Operational Technology, c’est-à-dire, d’après le NIST, l’ensemble des systèmes d’information “contraints” du secteur (systèmes industriels, systèmes métier), par opposition avec IT, qui regroupe les systèmes d’information plus “classiques” (accès à l’Intranet, etc…).

Ce chiffre alarmant provient de l’entreprise Naval Dome, donc le responsable pour les opérations aux États-Unis intervenait mi-juillet 2020 lors d’un webinaire s’adressant aux ports et aux opérateurs de terminaux portuaires (2020 Port Security Seminar & Expo).

Parmi ces chiffres, le responsable parle de 50 incidents en 2017, 120 en 2018 et 310 en 2019, avec une projection à plus de 500 brèches majeurs de cybersécurité en 2020. De notre côté, vous trouverez nos chiffres, année par année, avec les références publiques ici. Rappelant les attaques connues sur les ports et armateurs (Barcelone, San Diego), puis Austal, COSCO, MSC, l’infection Ryuk aux États-Unis et celle, plus récente, visant un port iranien. Il a également rappelé le rapport de la Lloyd’s de Londres, dont nous parlions sur ce site, qui précisait qu’une cyber-attaque sur 15 ports d’Asie aurait un impact potentiel supérieur à 110 milliards US$, peu ou pas couverts par les assurances qui ne couvrent généralement pas les systèmes OT.

Dans les ports, les systèmes d’information de type OT sont nombreux : grues type RTG et STS, système de contrôle du navire, gestion du transit des marchandises, systèmes de sûreté et de sécurité. D’après Naval Dome, la difficulté est essentiellement due au fait que ces systèmes OT ne font pas l’objet d’une cybersurveillance : les menaces y sont donc beaucoup plus longues à détecter.

COVID-19 : 400 % d’augmentation des tentatives de cyberattaques dans le monde maritime

Le site offshore-energy.biz rapporte que le nombre de tentatives de cyberattaques dans le monde maritime aurait augmenté de 400 % depuis le février 2020. Ce chiffre s’expliquerait notamment par le recours massif aux outils de télétravail pendant la pandémie du COVID-19.

Ce chiffre a été cité par Naval Dome, une entreprise israélienne de cybersécurité dont nous avions déjà parlé sur ce site, notamment ici. Dans ces 400% d’augmentation, Naval Dome voit notamment une augmentation du nombre de codes malveillants en tous genres, dont les rançongiciels, mais aussi des tentatives d’hameçonnage/phishing, le tout dans un contexte où les règles de distanciation sociales, les restrictions de déplacement et les difficultés économiques limitent les capacités de protection des entreprises du secteur.

Le CEO de Naval Dome, Itai Sela, précise notamment “Les restrictions liées au COVID-19, et notamment la fermeture des frontières, ont contraint les équipementiers, techniciens et vendeurs à connecter des équipements isolés à Internet pour en assurer la maintenance.” Les techniciens ne peuvent ainsi pas assurer la maintenance des navires ou plate-formes pour mettre à jour et assurer la maintenance de systèmes OT (Operational Technology) critiques, les rendant ainsi plus vulnérables à des attaques. “En raison des coupes dans les budgets et de l’absence de maintenance sur site, nous voyons de plus en plus de navires et de plate-formes offshore connecter leurs systèmes OT aux réseaux à terre pour en assurer des diagnostics à distance et réaliser des mises à jour.“, cette connexion signifiant souvent la levée du cloisonnement entre systèmes IT et OT. “L’augmentation du nombre d’opérateurs de maintenance travaillant à distance, à partir de leurs réseaux et ordinateurs personnels, parfois mal protégés, s’ajoute à ce problème.” Sela ajoute que, sur les trois premiers mois de 2020, les attaques visant les télé-travailleurs ont été multipliées par 10, McAfee voyant même une augmentation de 630 % du nombre de tentatives dans le cloud entre Janvier et Avril 2020.

La récession économique et la baisse du prix du brut ont des effets importants sur les compagnies pétrolières qui diminuent en conséquence les investissement nécessaires en cyber-sécurité.

“Le Cyber, domaine particulier de la pensée navale”, par N. Mazzucchi

Le Centre d’études supérieures de la Marine nationale (CESM) propose dans sa revue “Études marines – Stratégie” n°17 (page 82) un article de Nicolas Mazzucchi, docteur et chargé de recherches à la Fondation pour la recherche stratégique (FRS) intitulé “Le cyber, domaine particulier de la pensée navale”.

Dans cet article, l’auteur rappelle que, si la prise en compte du sujet par la communauté maritime a été relativement tardive, la question de la cybersécurité des navires et des ports est de plus en plus fréquemment traitée lors de différentes conférences, soulignant l’importance de ce sujet stratégique face à la numérisation progressive du secteur, que l’on parle de navires civils ou militaires.

Au niveau militaire, cette question est, d’après l’auteur, renforcée par le besoin important de capacités de combat en réseau. Il est vrai que, même si on en parlait déjà dans les années 90 (C3, C4), l’augmentation des débits satellite et de la connectivité a permis de répondre à un véritable enjeu de communication, que ce soit au sein d’un groupe constitué (comme le groupe aéronaval) que vers les flottes alliées ou les état-majors à terre, offrant de nouvelles capacités militaires… tout en ajoutant de nouvelles menaces.

On associe donc le cyber, au sens large, à un nouveau domaine de lutte transverse qui irrigue le milieu maritime et ses autres milieux (physiques, quant à eux : sous la mer, sur la mer, au-dessus de la mer, espace), mais aussi à un semble de technologies permettant une mutation assez inédite du secteur, y compris vers le futur et l’arrivée des navires autonomes.

L’auteur aborde ensuite sur le navire sous l’angle d’un “système d’information complexe multi-capteurs, sorte d’usine connectée sur mer”, où se rejoignent systèmes de communication, systèmes de combat, capteurs et actionneurs, la composante numérique apportant également de nouveaux aspects intéressants, comme la maintenance prédictive, facilitée par l’augmentation du nombre de données disponibles, y compris sur des installations cyber-physiques.

Une projection dans le futur est ensuite réalisée, avec l’arrivée des nouveaux capteurs et actionneurs déportés, apportés par les nouvelles générations de véhicules autonomes de surface, sous-marins, ou aériens, qui seront un atout capacitaire indéniable dans la projection de force et le renseignement.

Enfin, l’auteur insiste sur les risques liés à la multiplication de nouveaux protocoles et systèmes, qui peuvent venir contrecarrer ces nouvelles capacités, à l’obsolescence “programmée” et au maintien en conditions de sécurité complexes et sur la possibilité d’une fusion des domaines cyber et guerre électronique au niveau tactique naval.

Lancement d’un produit d’assurance spécifique aux risques cyber maritimes

Dans un communiqué de presse, l’assureur Willis Towers Watson annonce le lancement d’un nouveau produit d’assurance spécifiquement dédiés aux risques de cybersécurité dans le monde maritime. L’objectif de ce produit est de répondre à l’imparfaite couverture du risque cyber dans la plupart des contrats d’assurance, et de faire face à la multiplication des évènements cyber dans le monde maritime.

L’assurance semble couvre plusieurs cas, notamment : gestion de crise en cas de rançongiciels, vol de données, incidents relatifs à des tiers, perte de connectivité suite à des attaques sur le lien satellite, cas liés RGPD et NIS.

Une petite vidéo proposée par l’assureur (je n’ai pas d’actions) :

La cyberattaque sur MSC confirmée par l’armateur.

Nous en parlions dans un récent article : l’armateur MSC a été victime d’une cyberattaque, il y a une semaine, qui a impacté le fonctionnement de ses systèmes nominaux de réservation via Internet pendant quatre jours.

Dans un communiqué récent, l’armateur confirme la piste cyber, qui a concerné un certain nombre de serveurs situés à Genève : “nous avons déterminé qu’il s’agit d’une attaque virale exploitant une vulnérabilité ciblée”.

Il est intéressant de noter que l’armateur a partagé les informations sur cette attaque avec ses partenaires, afin que limiter les risques d’une nouvelle attaque.

MSC précise “nous sommes très conscients des risques permanents liés à la cybersécurité dans le monde du transport maritime et nous mettons en œuvre tous les protocoles de sécurité nécessaires dans nos communications et transactions commerciales. En complément de ces protocoles spécifiques, nous disposons de mesures et processus de sécurité confidentiels, comme les entraînements de cybersécurité réguliers auprès de nos employés à terre et en mer.”

Pour le fonctionnement global de MSC, l’armateur considère les impacts comme limités, car il a pu mettre en œuvre des mesures de continuité d’activité.

L’armateur MSC victime d’une probable cyberattaque.

D’après Le Marin et d’autres sites Internet, l’armateur MSC (Mediterranean Shipping Company), numéro 2 du trafic de conteneurs par voie maritime aurait été victime d’une cyberattaque, le privant de son système de réservation électronique appelé “MyMSC”. Cette attaque tombe au plus mal, en parallèle de la pandémie causée par le COVID 19.

Les services de courrier électroniques semblent toujours fonctionnels, mais la société a encore donné peu d’informations, hormis le fait que cela soit probablement lié à une panne réseau dans l’un des datacenters de la société.

We are sorry to inform you that https://t.co/gg5flboFcj and myMSC are currently not available as we’ve experienced a network outage in one of our data centers. We are working on fixing the issue.— MSC Cargo (@MSCCargo) April 10, 2020

Twitter/@MSCCargo

Après plusieurs heures d’enquête, l’armateur a confirmé ce matin que l’évènement était lié à leur siège social à Genève uniquement. A titre de mesures préventives, leurs serveurs suisses ont donc été éteints et une équipe d’experts est au travail pour permettre le retour à la normale.

UPDATE on network outage issue affecting http://msc.com and myMSC.   After several hours of investigations, we can now confirm that the issue is related to our Headquarters in Geneva only.

Twitter/@MSCCargo

Le rançongiciel Ryuk entraîne plus de 30 heures d’interruption d’activité pour un acteur du monde maritime

Le site Internet des gardes-côtes américains (impliqués dans le cyberespace, comme évoqué dans cet article) nous l’apprend : un opérateur du monde maritime américain a été impacté par le rançongiciel “Ryuk”. Ce code malveillant n’est pas un inconnu, puisqu’il a fait se premières apparitions à l’été 2018 et a déjà touché de nombreuses sociétés, comme Eurofins à l’été 2019 ou Prosegur plus récemment. Comme le précise la société CheckPoint, ce n’est pas un code malveillant techniquement très avancé, mais il a la particularité de viser les grandes entreprises et organisations qui disposent de moyens financiers importants et qui préfèrent parfois payer une rançon (ce n’est pas bien, et ça ne fonctionne pas toujours bien, notamment dans le cas de Ryuk) plutôt que de perdre des jours d’activité. Il avait déjà rapporté 3 M€ à ses auteurs en janvier 2019 (source : Le Monde). En mars 2019, l’Agence nationale de sécurité des systèmes d’information (ANSSI) publiait un bulletin d’alerte et un bulletin d’actualité notamment sur ce code malveillant.

Dans le cas évoqué par les garde-côtes américains, l’incident a touché un opérateur travaillant dans le cadre du Maritime Transportation Security Act (la transcription dans la loi américaine du code ISPS). Si les investigations étaient toujours en cours à la date de rédaction du bulletin d’alerte des garde-côtes (le 16 décembre 2019), le code aurait infecté le réseau interne de cet opérateur par le biais d’une campagne de hameçonnage (phishing) par courrier électronique. Une fois le lien malicieux cliqué par un employé, le code malveillant aurait permis à la source de menace d’accéder à d’importantes ressources réseaux (fichiers…), puis le les chiffrer, empêchant l’accès à des fichiers critiques pour le fonctionnement de l’installation. Le code malveillant s’est ensuite propagé au cœur des systèmes de contrôle industriel de l’opérateur en charge du suivi et du transfert des cargaisons, chiffrant les données critiques indispensables aux opérations portuaires.

Les impacts sur l’installation ont été importants : perte complète de l’accès au réseau “IT” (dépassant mêmes les frontières physiques de l’opérateur), perte des systèmes de vidéosurveillance et de contrôle d’accès physique, perte des systèmes critiques de supervision et de contrôle des process industriels. Ces effets combinés ont poussé l’opérateur à arrêter totalement ses opérations pour plus de 30 heures, le temps de mener une investigation cyber.

Près d’un an et demi après les premières apparitions de ce rançongiciel, les dégâts sont donc importants. Les gardes-côtes rappelles qu’un certain nombre de mesure auraient pu prévenir l’attaque ou en limiter les impacts (on peut donc légitimement penser qu’elles étaient plus ou moins absentes) :

  • la présence d’un système de détection et de prévention des intrusions ;
  • l’existence d’antivirus à jour de leurs moteurs et signatures ;
  • une journalisation centralisée et supervisée ;
  • une segmentation réseau minimale entre IT (Information Technology) et OT (Operational Technology) ;
  • une cartographie à jour des réseaux IT/OT ;
  • des sauvegardes de tous les fichiers et logiciels critiques.

D’après la Lloyd’s, une cyberattaque sur les ports asiatiques pourrait coûter 110 milliards de dollars

Un porte conteneur

D’après un rapport de la Lloyd’s de Londres réalisé avec le Cyrim (voir ici pour la vidéo et là pour le rapport PDF) et repris par l’agence Reuters, une cyberattaque sur les ports asiatiques pourrait coûter jusqu’à 110 milliards de dollars, montant équivalent à la moitié du total des pertes liées aux catastrophes naturelles en 2018.

Rappelons d’abord que la Lloyd’s est une entreprise spécialisée dans la couverture des risques commerciaux, et que ceux-ci sont moins souscrits en Europe et en Asie qu’aux États-Unis par exemple.

Le scénarios retenu (cf page 16 du rapport) simule l’infection d’un code malveillant qui serait transporté par des navires et impactant ensuite les base de données des ports. Une attaque sur un port figure dans la short list des scénarios retenus pour le secteur maritime. On se rappelle en effet les attaques dont plusieurs ports ont été victimes en 2018 et des impacts (directs et indirects) associés, voir notre page consacrée aux incidents cyber dans les secteur maritime). Dans ce scénario, cette cyberattaque affecterait 15 ports au Japon, en Malaisie, à Singapour, en Corée du sud et en Chine. 92% (soit 101 milliards de dollars) des coûts économiques associés ne seraient ainsi pas couverts.Les pays ayant des liens avec chaque port seraient également touchés. Ainsi, les pays asiatiques seraient les plus touchés avec 26 milliards de dollars de pertes indirectes, suivis de l’Europe avec 623 millions de dollars Le scénarios retenu (cf page 16 du rapport) simule l’infection d’un code malveillant qui serait transporté par des navires et impactant ensuite les base de données des ports. Une attaque sur un port figure dans la short list des scénarios retenus pour le secteur maritime. On se rappelle en effet les attaques dont plusieurs ports ont été victimes en 2018 et des impacts (directs et indirects) associés, voir notre page consacrée aux incidents cyber dans les secteur maritime). Dans ce scénario, cette cyberattaque affecterait 15 ports au Japon, en Malaisie, à Singapour, en Corée du sud et en Chine. 92% (soit 101 milliards de dollars) des coûts économiques associés ne seraient ainsi pas couverts.

L’Asie regroupe 9 des 10 ports les plus importants au monde (Shangaï, Singapour, Shenzhen, Nigbo-Shoushan, Guangzhou, Busan, Hong Kong, Quindao, Tianjin) et représente donc une étape essentielle dans la chaîne d’approvisionnement de très nombreuses compagnies de part le monde, que ce soit dans le secteur automobile, manufacturier ou encore l’électronique. Le rapport estime ainsi que l’impact dépasserait largement le continent asiatique, qui subirait 26 milliards de dollars de pertes indirectes, suivi par l’Europe (et oui) avec 623 millions de dollars et l’Amérique du nord avec 266 millions de dollars (cela dépendrait aussi évidemment de la durée de l’évènement et de la difficulté de coordination internationale dans le cadre d’un tel évènement).