Les particularités de la marétique

La – relative – incompréhension entre les équipementiers cyber “traditionnels” et les utilisateurs de la marétique vient généralement d’un manque de connaissance du milieu maritime et d’adaptation / intégration de systèmes traditionnels avec les contraintes du milieu. Dans cet article, je vous détaille une partie des caractéristiques du milieu qui expliquent qu’une prise en compte particularisée du monde maritime est nécessaire lorsqu’on veut y déployer des systèmes et logiciels “sur étagère”.

Parmi les contraintes rencontrées, la première d’entre elle est la connectivité : si les navires récents sont de plus en plus connectés à la terre grâce au recours aux liaisons satellitaires et 4G, la bande passante, notamment pour les navires hauturiers, reste limitée et coûteuse. En complément des contraintes de débit évoquées, le RTT (Round Trip Time) d’une liaison satellitaire peut être important : plusieurs centaines de millisecondes séparent l’émission d’un message de sa réception. Cela complexifie la connectivité terre/bord et notamment le soutien et la prise en main à distance (e-maintenance, surveillance) de la marétique (ce n’est pas toujours un mal !).

Ce – relatif – sentiment d’isolement a aussi des conséquences en termes de sécurité informatique : l’équipage peut avoir l’impression par ce biais d’être relativement “protégé” des cyberattaques qui grouillent sur le continent.
La résilience et la sécurité sont des effets finaux recherchés permanents chez le marin : la numérisation du secteur ne doit en aucun cas entraîner de risque insurmontable en mer : la sécurité (de l’environnement, du marin, de sa cargaison, de son navire…) ne doit pas pouvoir être impactée, même en cas de perte d’un système d’information critique.

Il n’y a pas d’expert IT/OT/cyber à temps plein à bord d’un navire en mer, du moins sur la majorité des navires civils :  l’administration, la maintenance, la sécurité est largement sous-traitée et traitée lors des escales des navires. En revanche, à bord des navires se trouvent (souvent) de remarquables experts de leurs installations physiques, maîtrisant parfaitement leur fonctionnement et capables de vous en parler des heures durant. De ce que j’ai pu constater, hormis dans certains cas, leur niveau d’expertise peut s’arrêter au niveau de l’interface où l’informatique “prend le dessus”.

La marétique regroupe assez régulièrement des systèmes achetés sur étagère (COTS, Commercial Off The Shelf) et “intégrés” à bord par des sous-traitants : le marin a donc une vision et une maîtrise limitée de l’installation en question. Ce concept de “boite noire” est d’autant plus prégnant que les protocoles utilisés (systèmes industriels, protocoles spécifiques parfois obscurs et, dans leur majorité, non sécurisés) sont généralement propriétaires. Ce constat rend difficile la configuration sécurisée et la mise à jour régulière des systèmes de la marétique pour faire face à une cyberattaque. Ce point est d’autant plus critique que le cycle de vie d’un navire ou d’une infrastructure navale est particulièrement long (de 20 à 40 ans, à mettre en parallèle de la durée de vie moyenne d’un iPhone à Paris).

Dernier point à ne pas oublier : le navire évolue la plupart du temps dans un milieu hostile, côtier ou hauturier, généralement seul : le paramétrage ou la réinstallation d’un data center par mer 7 n’est pas tellement une option facile à entendre… Pour s’en convaincre/rappeler, une petite vidéo…


https://www.youtube.com/watch?v=SwBbPLota6Q

Hack.lu 2018 : comment pirater un yacht

Cette vidéo  été tournée dans le cadre de la conférence bien connue hack.lu 2018 au Luxembourg. En première partie, Stephan Gerling y présente sa vision de la marétique et évoque rapidement les services type GPS et AIS. Il s’intéresse ensuite à la connectivité terre/navire, notamment satellitaire. Puis, il démontre les vulnérabilités de conception d’une interface de contrôle d’un routeur “naval”. L’interface de gestion se connecte en FTP au routeur naval, et les identifiants/mots de passe sont stockés en clair, révélant ainsi rapidement les identifiants WLAN du système.

Il évoque ensuite les vulnérabilités liées à la prise en main à distance de systèmes : les industriels/maintenanciers disposent fréquemment d’une capacité d’intervention à distance et, là encore, les identifiants sont stockés en clair dans le logiciel, qui est disponible librement sur Internet : pas très difficile de les trouver, surtout quand les outils utilisés (Winbox) sont vulnérables. Stephan a bien fait les choses, en informant le fabriquant des vulnérabilités constatées. Elles ont été corrigées (mais pas très bien, vous le verrez) par le constructeur. Par ailleurs, si la politique de maintenance n’est pas efficace, il est fort probable que les versions vulnérables demeurent un certain temps.

Il fait ensuite la preuve d’une autre vulnérabilité sur un système d’accès à distance à l’interface de gestion d’un modem satellite. Là encore, les mots de passe sont stockés en clair dans l’interface d’administration du modem… un simple tour sur Shodan permet d’identifier les navires vulnérables.

Rien de très très neuf, mais cette vidéo, qui fait suite à celle de Derbycon 2018, montre le regain d’intérêt du monde cyber pour la marétique.