Il aura fallu que sept des dix premiers transporteurs mondiaux de conteneurs confessent publiquement, comme un aveu de faiblesse, avoir été victimes de cyberattaques pour que le phénomène cybernétique devienne plus palpable dans le transport maritime. L’attaque NotPetya contre Maersk en 2017, qui a coûté au groupe danois des centaines de millions de dollars, reste l’acte fondateur d’une prise de conscience de la gravité du phénomène.
Secteur ultra-connecté et interdépendant, où les systèmes d’information sous-tendent déjà une grande partie des opérations de la chaîne d'approvisionnement mondiale, tributaire des réseaux et des transmissions par satellite, le transport maritime est une proie idéale pour les prédateurs qui y trouvent de nouvelles formes d'infiltration des systèmes à terre et en mer.
La digitalisation à marche forcée de l'industrie depuis une dizaine d’années, poussée par une demande de plus en plus forte de traçabilité, l’autonomisation des navires et la faiblesse des pare-feux contre les cyberattaques ne la rendent que plus vulnérable.
Son caractère stratégique dans l’approvisionnement mondial et les attributions qu’on lui prête pour assurer la souveraineté énergétique d’un État en font en outre un secteur de fort attrait pour les menaces de type étatique (jamais très loin de l’hacktivisme), cybercriminel voire terroriste.
Plus informatisés que jamais, les navires deviennent donc des objets captifs pour les agressions dont les conséquences sont désormais bien documentées : perte de la continuité d’activité, sécurité ou sûreté du navire et de l’équipage compromises, etc.
Des attaques inquiétantes
Pour la réalisation d’une étude publiée en mars 2022 par la spécialiste CyberOwl et le cabinet d'avocats HFW, près de 45 % des 200 professionnels interrogés déclaraient que leur organisation avait fait l'objet d'une cyberattaque au cours des trois dernières années. D’après cette étude, les cyberattaques avaient coûté en moyenne aux exploitants de navires 182 000 $ par an tandis que 54 % déclaraient dépenser moins de 100 000 $ par an pour la prévention.
Certaines attaques sont restées en mémoire pour leur capacité à figer des opérations.
En 2011, la cyberviolation des systèmes d'exploitation du terminal du port d'Anvers a ouvert l'accès à la base de données contenant des informations précises sur la localisation de chaque conteneur dans l'installation.
Infiltration des manifestes de cargaison
En 2016, un groupe de pirates s'est introduit dans les systèmes d’information d'un grand transporteur de conteneurs, infiltrant les manifestes de cargaison de ses navires, vendus ensuite sur le dark web et tombés entre les mains de pirates somaliens.
Les logiciels classés dans la catégorie des ransomwares, redoutables pour infiltrer et crypter des réseaux informatiques critiques, se sont sophistiqués ces dernières années avec l’émergence des cryptomonnaies qui offrent aux criminels des méthodes de paiement anonymes. Les propriétaires du Colonial Pipeline, par où transitent 45 % de tout le carburant consommé sur la côte Est des États-Unis, n'ont eu d'autre choix que de payer les 4,4 M$ en bitcoins exigés en échange du rétablissement des opérations.
Usurpation des identités et leurrage
Les systèmes mondiaux de navigation par satellite (GNSS, global navigation satellite systems), qui donnent la position d'un élément partout et en temps réel, sont essentiels au bon fonctionnement des équipements des systèmes de navigation d'un navire. Mais ils sont exposés au pillage des identités. Le Stena Impero, battant pavillon britannique, en a fait les frais en traversant le détroit d'Ormuz, le navire effectuant des écarts inhabituels par rapport à son plan de voyage.
Les données du système d'identification automatique (Automatic Identification System, AIS) ont en effet indiqué que le GPS transmettait des données de position qui ne correspondaient pas au cap et à la vitesse réels du navire. Le pétrolier sera arraisonné ensuite par les Gardiens de la révolution iranienne et détenu pendant deux mois dans le cadre de l'escalade de la crise diplomatique entre l'Iran et les États-Unis.
Les liens de causalité n’ont pas été publiquement démontrés. Si cela n’a pas été formulé comme tel, la pratique s’apparente fortement à un leurrage, qui permet de faire dévier un navire de sa trajectoire de plusieurs centaines de mètres voire de km.
En début d'année, la société de classification maritime norvégienne DNV a subi une attaque de ransomware par le biais de son logiciel ShipManager, ce qui a obligé l'organisation à fermer ses serveurs. L'attaque a touché environ 70 clients exploitant un millier de navires, soit près de 15 % de l'ensemble de la flotte utilisant les services de DNV.
Un nouvel opus sur les cybermenaces maritimes
« Le secteur maritime est un secteur complexe, à la fois sur le plan géographique compte tenu de son étendue mondiale, au niveau réglementaire et géopolitique du fait des interventions de nombreux acteurs à terre et en mer et sur le plan de son système d’information de plus en plus étendu et hybride alliant système de gestion, système embarqué et système industriel », explique Olivier Revenu, le PDG de OWN.
La société spécialisée dans le renseignement sur la menace cyber, en collaboration avec France Cyber Maritime (M-CERT), vient de publier un rapport qui complète la littérature sur les cybermenaces maritimes. Le document de 70 pages, qui intéressera a fortiori le monde de l’informatique par son expertise pointue des réseaux d’information, s’attelle à son tour à décrypter le mode de fonctionnement des attaquants et celui des codes informatiques malveillants.
90 incidents en 2022
L’état des lieux n’est pas sans inquiéter sur le renforcement de l’activité. En 2022, près de 90 incidents de cybersécurité ont été relevés dans le secteur maritime et portuaire au niveau mondial, en augmentation de 21 % par rapport à 2021 et de 235 % par rapport à 2020.
Les pirates informatiques ont particulièrement ciblé l’Europe, concentrant 40 % des agressions, devant l’Asie (34 %) et l’Amérique du Nord (21 %). Les intrusions dans les systèmes d’information des exploitants de navires, qui représentent 15 % du total sectoriel (56 attaques recensées en 2022), est relativement stable par rapport à 2021, indique l’étude.
En revanche, les incursions dans les ports (17 % du total) et dans la logistique (18 %) ont explosé de 70 et 50 % respectivement par rapport à 2021. Dans le reste de l’industrie maritime, le nombre d’atteintes a été multiplié par six par rapport à 2021.
Phishing et ransomwares envers les armateurs
Les armateurs restent la cible privilégiée pour le phishing, les codes malveillants visant à voler des informations, la compromission des emails, et les rançongiciels (du type Lockbit, Conti et Pla) encore opportunistes, aucun ne semblant spécialisé dans l’attaque d’entreprises maritimes.
« Si la coordination et l’action des forces de l’ordre, conjuguées avec certaines mesures prises par les armateurs, semblent porter leurs premiers fruits, la situation demeure très hétérogène et fonction de la taille des armateurs, de leur niveau de maturité et, souvent, du dynamisme cyber de leur pays de rattachement et de leurs partenaires », précise l’étude.
L'Europe, première zone ciblée
Si l’Europe reste une zone de raid plus captive, les OPA informatiques contre les ports ont été menées essentiellement en dehors de l’Europe.
La logistique et les transports sont davantage en ligne de mire des tentatives de phishing et de spearphishing. Comme les clusters portuaires, le secteur a de nombreuses interactions numériques avec d'autres acteurs du secteur (transitaires, ports, armateurs...), qui les expose dangereusement si bien que les auteurs du rapport font de leur sécurisation un défi et un enjeu majeur des prochaines années.
La France, particulièrement concernée en Europe
La France fait partie en 2022 des pays européens les plus touchés (cinq événements référencés ) par les intrusions avec l’Allemagne (six actes) et la Grande Bretagne (7).
L’étude confirme par ailleurs la faiblesse des moyens et ressources alloués par les entreprises du secteur, voire « l’absence quasi générale de ressource humaine cyber, de spécialiste numérique à bord de la plupart des navires civils ».
Haro sur les câbles sous-marins
Infrastructures essentielles aux télécommunications électroniques mondiales, les câbles sous-marins sont aussi des hochets pour les cybercriminels. Leur exposition a été démontrée avec le sabotage des gazoducs Nord Stream 1 et 2 en septembre 2022 dans le cadre du conflit avec l’Ukraine.
Le chiffrement des liaisons n’est, selon le document, pas systématique. « Leur interception demeure donc, dans de nombreux cas, une possibilité pour des attaquants avec des moyens relativement peu sophistiqués. Le fait que, dans une grande majorité des cas, les mots de passe par défaut de ces équipements ne soient pas modifiés pour en faciliter la maintenance à distance ultérieure, notamment par des tiers maintenanciers, présente également un risque majeur de compromission ».
PNT, AIS, VDR, GNSS, attention danger
De même, la perte d’accès aux systèmes de positionnement, de navigation et de temps comme le GNSS, essentiels aux ports et aux navires, ne semble pas suffisamment appréhendée. Le brouillage (pratique peu documentée) peut rendre instantanément les VDR (voyage data recorder), les AIS (la pratique permet ainsi aux navires de la flotte dite fantôme d’opérer du transbordement de pétrole de contrebande en mer) ainsi que tous les systèmes de télécommunication par satellite, qui utilisent les informations issues du GPS…
Quelles tendances en 2023 ?
« Le secteur maritime ne fait pas exception au déploiement de nouvelles techniques d’intrusion », que ce soit au titre de cible principale, d’opportunité ou victime collatérale, répondent d’emblée les auteurs de la publication
« Si certains doutaient de l’intérêt de l’intelligence artificielle (IA) en préparation d’une attaque cyber, les démonstrations par certains chercheurs d’outils comme ChatGPT doit alerter la communauté sur l’existence et la performance de certains outils mis à disposition. Au-delà, il ne fait guère de doute que le développement d’outils automatisés d’attaque à base d’IA se poursuivra, tant par des officines étatiques ou pseudo-étatiques que cybercriminelles », mettent-ils en garde.
Adeline Descamps
Lire aussi : Cybersécurité : la grande déconnexion du transport maritime
