Les super-yachts : une cible facile pour les pirates des temps modernes ?

Les nouveaux “superyachts” sont à la mode (même si je n’en ai pas personnellement) et, logiquement, ils n’échappent évidemment pas à la numérisation du secteur maritime, avec toute la puissance financière propre à ce secteur de l’ultra-luxe. Autant dire qu’il n’y a pas vraiment de limite.

Connexions satellites multi-opérateurs à très haut débit, relais GSM, 4G et plus, Wifi, vision du navire sous tous les angles à l’aide de webcams, système de distraction ultra-perfectionné, systèmes d’alarmes, passerelle et machine dernier cri, automatisation poussée, ces navires ne sont cependant pas conçus que pour le plaisir… La plupart des propriétaires et locataires de ces yachts y déportent une partie de leur entreprise : il faut donc voir le yacht comme une extension de celle-ci, mais bien souvent beaucoup plus vulnérable, à savoir sans tous les raffinements cyber que l’entreprise a (ou pas) et avec des caractéristiques du milieu maritime parfois mal connues par les RSSI.

Les informations personnelles sur l’équipage, l’emploi du navire, son propriétaire, ses habitudes peuvent donc être relativement faciles à obtenir pour suivre toute l’activité du navire et de ses hôtes de luxe (merci l’AIS). Mais c’est surtout la cyber-sécurité des hôtes (et du business sous-jacent) qui est en jeu.

Il n’y a donc guère 36 possibilités pour améliorer rapidement la sécurité de ces yachts :

  1. Il faut sensibiliser l’équipage, l’armateur ET les clients et passagers aux risques et aux bonnes pratiques.
  2. Une attention particulière doit être portée à ces navires en termes de cyber-protection, les deux principaux enjeux étant notamment la sécurité de la vie privée et des réunions commerciales qui pourraient se dérouler à bord et la protection du navire en lui-même, pour éviter toute prise en main à distance. Si vous suivez ce blog, vous avez déjà vu que certaines entreprises se sont spécialisées dans les solutions cyber pour les yachts.
  3. Idéalement, entraîner l’équipage du navire et l’armateur à détecter et réagir en cas d’évènement (mais pour cela encore faut-il les moyens de le détecter).

Dans l’actualité récente, plusieurs articles sont parus sur le sujet. En voici deux :

  • le lancement de la formation “Superyacht Cyber Training course” (SYCT) par JWC Superyachts. Cette formation, labellisée par le GCHQ (rien que ça) est une version spécialisée du cours “Maritime Cyber Security Awareness“. C’est un cours en ligne (avec ses avantages et ses inconvénients) qui répond avec un peu d’avance aux directives de l’IMO qui s’appliqueront en 2021, ainsi que les recommandations de BIMCO. Voir l’article sur superyachtsnews.com.
  • un article soulignant la crainte (donc la relative sensibilisation) des patrons de superyachts sur le risque d’être espionné à distance (en anglais).

Vous pourrez aussi retrouver deux articles plus anciens sur ce blog :

Hack.lu 2018 : comment pirater un yacht

Cette vidéo  été tournée dans le cadre de la conférence bien connue hack.lu 2018 au Luxembourg. En première partie, Stephan Gerling y présente sa vision de la marétique et évoque rapidement les services type GPS et AIS. Il s’intéresse ensuite à la connectivité terre/navire, notamment satellitaire. Puis, il démontre les vulnérabilités de conception d’une interface de contrôle d’un routeur “naval”. L’interface de gestion se connecte en FTP au routeur naval, et les identifiants/mots de passe sont stockés en clair, révélant ainsi rapidement les identifiants WLAN du système.

Il évoque ensuite les vulnérabilités liées à la prise en main à distance de systèmes : les industriels/maintenanciers disposent fréquemment d’une capacité d’intervention à distance et, là encore, les identifiants sont stockés en clair dans le logiciel, qui est disponible librement sur Internet : pas très difficile de les trouver, surtout quand les outils utilisés (Winbox) sont vulnérables. Stephan a bien fait les choses, en informant le fabriquant des vulnérabilités constatées. Elles ont été corrigées (mais pas très bien, vous le verrez) par le constructeur. Par ailleurs, si la politique de maintenance n’est pas efficace, il est fort probable que les versions vulnérables demeurent un certain temps.

Il fait ensuite la preuve d’une autre vulnérabilité sur un système d’accès à distance à l’interface de gestion d’un modem satellite. Là encore, les mots de passe sont stockés en clair dans l’interface d’administration du modem… un simple tour sur Shodan permet d’identifier les navires vulnérables.

Rien de très très neuf, mais cette vidéo, qui fait suite à celle de Derbycon 2018, montre le regain d’intérêt du monde cyber pour la marétique.

Naval Dome assure la cyber-défense d’un yacht

Naval Dome, compagnie israélienne, a annoncé avoir équipé un yacht de luxe (le MY Lucky Me) de sa solution de cybersécurité navale.

Le navire MY Lucky Me (j’aimerais bien faire un audit dessus). Source : Maritime Executive / Naval Dome

Au programme de leur solution : de la protection au niveau des hôtes (endpoint protection) et de l’informatique en nuage (cloud-based solution). Rien de forcément passionnant (a priori), ce que je retiens surtout c’est la volonté d’intégration retenue : la solution, plutôt que de travailler en silo, semble couvrir l’ensemble de l’IT et de l’OT à bord. C’est la voie à prendre.

  L’article complet sur le site du Maritime Executive.