Secu
Le secteur maritime en pleine (cyber) tempête
Par Laurent Delattre, publié le 23 mai 2023
Réalisé par l’association France Cyber Maritime et la société de conseil OWN, un nouveau rapport dresse un paysage alarmant des cyberattaques contre le secteur maritime.
L’association France Cyber Maritime et OWN, une société spécialisée qui propose un CERT inter-entreprises, ont présenté la semaine dernière le tout premier Panorama de la cybermenace maritime. Les données et analyses sont issues des travaux du M-CERT (Maritime Computer Emergency Response Team) et d’OWN.
Sans grande surprise, le nombre d’attaques a explosé, plus 235 % par rapport à 2020 et plus 21 % par rapport à 2021. « Près de 90 incidents de cybersécurité notables et publics ont été détectés en 2022 dans le secteur maritime et portuaire au niveau mondial », recense le rapport. Un chiffre sans aucun doute loin de la réalité puisque ne reprenant que les événements publics.
Cette progression est principalement liée aux activités cybercriminelles (les rançongiciels arrivent en tête) mais aussi aux cyberattaques aux visées politiques. Depuis le début de la guerre en Ukraine, plusieurs groupes de hackers s’en prennent en particulier à la supply chain. Dit autrement, le secteur maritime est devenu un des piliers des cyberattaques menées par les hacktivistes, par les cyberterroristes et par les États-nations. Des attaques potentiellement dangereuses pour l’ensemble de l’économie mondiale : 80 % des marchandises transitent par bateau.
Le rapport met d’ailleurs bien en lumière toute la complexité du secteur maritime. La numérisation des navires et ports s’est largement intensifiée ces dernières années, afin d’apporter plus de souplesse, de rapidité, de sécurité et de traçabilité tout au long de la chaîne logistique maritime. Cette transformation numérique continue à se renforcer avec le développement des technologies de smart shipping, de green shipping et le développement des drones maritimes et navires autonomes. Elle entraîne un niveau d’interdépendance et d’exposition numérique des systèmes jamais atteint jusqu’ici. De quoi – forcément – attirer l’appétence des cyberattaquants.
Des menaces bien connues
Les attaques touchent tous les acteurs de cette chaîne : ports, armateurs, navires, chantiers navals, logistique… Les approches sont classiques : Phishing d’abord, avec utilisation de pièces jointes pour installer des infostealer comme Lokibot…. Ensuite, les clés USB, toujours utilisées entre autres pour des mises à jour sur les navires, servent encore et toujours de vecteurs de propagation de codes malveillants.
Du côté des chiffres, 24 familles d’infostealers affectant le maritime ont été recensées en 2022 avec une nette majorité d’échantillons de Formbook (aussi appelé Xloader), Agent Tesla, Snake Keylogger et Lokibot, des malwares souvent liés à des services RaaS (Ransomware as a Service) qui affectent de nombreux autres secteurs.
Plus original, les investigations d’OWN dressent un autre constat alarmant : nombre de ces attaques ont impliqué un haut niveau de connaissances métiers. Pour illustrer le propos, le rapport détaille entre autres l’activité d’un « acteur de la menace », baptisé POSEIDON-IS_001 par les experts, qui dérobe des données depuis 2019 en s’appuyant sur des attaques BEC (Business Email Compromised) et de l’escroquerie en ligne.
D’autres groupes, plus spécialisés sur l’exploitation de vulnérabilités pour infiltrer les systèmes et voler des données, se sont aussi fait remarquer par leurs attaques en 2022 à l’instar de Kelvinsecurity (qui s’en est notamment pris aux clés privées des systèmes de navigation des Yachts privés et navires militaires) et de SiegedSec (et son attaquant YourAnonWolf) qui s’en est surtout pris à une académie maritime.
Les installations portuaires en ligne de mire
Les ports et leurs installations sont directement visés. Dans le contexte d’une numérisation accrue des activités maritimes, les systèmes d’information des ports couplent IT et OT. Une convergence OT/IT qui offre des opportunités d’attaques toujours plus nombreuses.
Bien des équipements des installations portuaires sont gérés par des systèmes de contrôle industriel ICS et des systèmes de contrôle de supervision et d’acquisition type SCADA. Or, depuis le célèbre malware Stuxnet en 2010, ces systèmes sont devenus des cibles récurrentes des cyberattaquants. Il reste difficile d’avoir une estimation des attaques menées dans ce contexte, et la technicité qu’elles nécessitent limite le nombre d’attaquants.
Néanmoins, dans son dernier rapport, l’éditeur Forescout, en 2022, dénombre 56 vulnérabilités critiques, regroupées sous le nom « IceFall » et utilisées pour attaquer des systèmes OT (de Siemens, Honeywell, Omron, notamment).
L’activité d’un groupe baptisé Bentonite, est ainsi mise en avant dans le rapport OWN : il serait à l’origine en 2022 de plusieurs attaques ciblant spécifiquement des installations traitant le Gaz Naturel Liquéfié (GNL) et le pétrole.
Menace ciblant là encore les infrastructures GNL notamment portuaires mais aussi les réseaux électriques dans les ports, le malware Incontroller est apparu en 2022 dans le cadre de la guerre en Ukraine. Il illustre une nouvelle fois les liens ténus entre les contextes géopolitiques et les attaques dans l’univers maritime. Conçu pour interagir avec des équipements industriels intégrés dans différentes machines, cet outil permet aux attaquants d’obtenir un accès système complet à plusieurs dispositifs ICS et SCADA une fois un accès initial au réseau industriel établi.
Des navires en danger
Les navires aussi constituent une cible de prédilection. S’ils incorporent eux aussi parfois des systèmes SCADA et ICS, ils embarquent surtout de véritables « datacenters Edge » pour gérer la navigation, la propulsion, les opérations. Outre les attaques par ransomware ou phishing pour paralyser les systèmes, voler des identifiants ou des données embarquées, les navires sont aussi victimes d’autres attaques plus spécifiques comme les attaques par leurrage ou brouillage des signaux de navigation. Ces attaques menées contre les systèmes de Positionnement, de Navigation et de Temps (PNT) – comme le GNSS (Global Navigation System) qui combine le GPS américain, le Galileo européen et le Glonass russe – peuvent bloquer des navires à quai ou les faire dévier de leur route. Elles peuvent aussi entraîner une perte du référentiel horaire de certains systèmes avec des conséquences parfois imprévisibles.
Le rapport note ainsi l’apparition en 2022 de différentes zones d’Anti-Access (zone de perturbation du GNSS). Typiquement, une zone importante de brouillage GPS impacte une bonne partie de la mer Noire jusqu’aux côtes Roumaines. D’autres zones de brouillage sont particulièrement liées à des opérations militaires en cours. Mais le rapport note également la présence de nombreux brouilleurs dans plusieurs villes portuaires en Asie, des brouilleurs non étatiques visant à mener des attaques par déni de services.
Deux nouvelles cibles : Les câbles sous-marins et les satellites
Enfin, le rapport revient sur des menaces maritimes bien particulières : celles qui visent tout l’écosystème des grands câbles sous-marins. Ces derniers sont la clé d’Internet et des infrastructures de télécommunications mondiales. Après le sabotage des gazoducs Nordstream 1 et 2 par la Russie en 2022, nombre d’experts se sont inquiétés de voir ces câbles sous-marins devenir des cibles potentielles que ce soit dans le cadre du conflit entre la Russie et l’Ukraine ou dans le cadre des tensions entre la Chine et les États-Unis. De fait, le rapport rappelle que plusieurs incidents sur ces câbles ont eu lieu alors que des bâtiments militaires évoluaient à proximité.
Mais l’intégrité physique de ces câbles n’est pas la seule menace. En 2022, une cyberattaque sur l’infrastructure du câble sous-marin SEA-ME-WE 5, menée par le groupe de hackers Killnet, a engendré une interruption de service de plusieurs heures dans plusieurs pays du Moyen-Orient (dont le Pakistan et l’Égypte).
Affectant encore plus directement le secteur maritime et les navires, les attaques contre les télécommunications par satellites constituent une menace croissante. Le rapport note que les équipements et infrastructures de télécommunication par satellite sont souvent vulnérables à des attaques, soit par défaut de conception, soit par manque de chiffrement ou de configuration sécurisée (les mots de passe par défaut sont trop souvent conservés). Il met en évidence deux évènements survenus en 2022 : l’attaque sur le segment sol du satellite KA-SAT lors du conflit russo-ukrainien (attaque là aussi menée par Killnet qui a notamment entraîné une interruption de service dans le secteur des énergies maritimes renouvelables mais aussi impacté le secteur de la pêche), et la compromission de certains équipementiers du secteur (ayant engendré des fuites d’information sensibles).
Au final, ce premier constat autour de la cybersécurité du secteur maritime n’est pas plus optimiste que ceux des autres secteurs. Une situation d’autant plus préoccupante que la numérisation des navires et des ports va encore fortement s’intensifier, portée par de nouvelles tendances comme le smart-shipping, le green-shipping, les jumeaux numériques portuaires, l’optimisation des opérations par l’IA, etc. Il sera intéressant de consulter les évolutions de ce panorama au fil des années…
France Cyber Maritime
Créée en 2020, soutenue par l’ANSSI, France Cyber Maritime regroupe 70 membres, de l’écosystème maritime au sens large. Elle a pour mission d’apporter au monde maritime et portuaire des réponses concrètes et adaptées en matière de cybersécurité, afin de renforcer la résilience du secteur et de promouvoir l’excellence française en cybersécurité maritime en Europe et à l’international.
Chaque année, elle organise une compétition marathon de 24 heures, en distanciel, regroupant de nombreux hackers éthiques pour rechercher des vulnérabilités sur les SI des participants, tous acteurs du secteur maritime et portuaire.
