Le secteur maritime à la merci des pirates numériques
Le Cesin, association de RSSI, et l’entreprise Qualys – pionnière de la sécurité dans le cloud – organisaient une matinée prospective. L’occasion de se pencher sur le risque numérique dans le domaine maritime.
Si des bateaux sont toujours arraisonnés par des pirates, un autre type de flibustiers est désormais redouté.
Peu de gens le savent, et rares sont ceux qui en ont conscience, mais une grande partie de l’économie mondiale passe par les voies maritimes. La matinée prospective organisée par l’entreprise Qualys et le Cesin était l’occasion de le rappeler.
Quelques chiffres égrenés en préambule par le Lieutenant de Vaisseau Olivier*, expert en cybersécurité industrielle et maritime, permettent d’en prendre la mesure :
- 71 % de la surface de la terre est océanique
- 95 % des communications traversent l’océan via les câbles sous-marins
- 90 % des marchandises échangées transitent par la mer
- 60 % du pétrole brut mondial et 90 % du pétrole brut français passent par la mer
- + de 52 % du trafic de marchandises en Europe est assuré par le secteur maritime
- En 2016, 10 milliards de tonnes ont été transportées par la mer, c’est 210 % de plus depuis 2000.
La France joue un rôle particulier dans ce domaine puisqu’elle dispose du second domaine maritime mondial après les États-Unis et devant l’Australie.
Le trafic augmente considérablement. Le rail d’Ouessant voit ainsi passer chaque année 55 000 bâtiments. Le trafic augmente, mais le nombre de bateaux n’augmente pas de manière proportionnelle. Chez les constructeurs, la course au gigantisme est lancée et la taille des bâtiments ne cesse d’augmenter. En effet, transporter plus sur un même navire permet de réaliser des économies d’échelle.
Les chantiers de Saint-Nazaire ont ainsi réalisé Symphony of the seas, un navire de croisière hors-norme qui permet de transporter près de 9000 passagers (dont 2394 membres d’équipages).
Les porte-conteneurs sont aussi gigantesques
MSC détient le record, de quelques centimètres, avec le MSC Samar, tandis que plusieurs se disputent une taille de près de 400 mètres. Ces bateaux peuvent emporter jusqu’à 23 756 conteneurs. Placés les uns derrière les autres, ils couvriraient une distance de 140 km ! Quant aux marchandises qu’ils abritent, ils représentent plusieurs milliards de dollars flottant en même temps sur l’océan.
Cette course au gigantisme n’est possible qu’avec des prouesses techniques et une assistance de plus en plus grande de l’électronique embarquée, de l’informatique et des systèmes de commande.
C’est ainsi que plusieurs systèmes disparates et complexes sont interconnectés et reliés à la terre ou à des satellites.
Les bateaux emportent désormais avec eux des mini data centers chargés de faire fonctionner tous les appareils nécessaires à la vie à bord.
Demain des bateaux autonomes
Les ports se sont aussi massivement équipés en informatique. Preuve de la vitalité du secteur, des essais de bateaux autonomes sont en cours, notamment des ferrys. Rolls-Royce a ainsi testé en Finlande (en anglais) des ferrys de voyageurs entièrement autonomes.
Paradoxalement, le changement climatique permet au secteur d’envisager des économies sur le long terme – même si des doutes subsistent sur l’impact exact sur le secteur. Des routes impossibles auparavant sont désormais ouvertes plus au nord, « grâce » à la fonte des glaces. Certains itinéraires pourraient être raccourcis de 5000 à 7000 km.
Face à ces nombreux changements, le secteur s’organise. Le sujet du cyber dans la marine s’appelle la cybermarétique et soulève autant d’espoirs que de craintes. Des filières supérieures commencent à se mettre en place en France.
La spécificité du cybermarétique
Faire du cyber dans un bateau, avec peu ou pas de bande passante, dans un univers contraint et mouvant est bien évidemment très différent que sur terre où des renforts peuvent facilement être appelés.
La marine possède ce type d’équipes qui peuvent être envoyées par hélicoptères. Ce n’est pas le cas des flottes commerciales qui ont pourtant des risques très importants pour les passagers et pour les marchandises.
Le numérique est un risque « supplémentaire » qui vient s’ajouter à la palette des autres risques encourus par l’équipage. Il ne se matérialise d’ailleurs pas uniquement par une prise de contrôle à distance ou par l’envoi de fausses coordonnées GPS mais peut aussi provenir d’un incendie. Les bateaux modernes transportent avec eux des mini data centers dont la neutralisation physique, soit par les flammes, soit par l’eau peut conduire à la perte de contrôle des appareils nécessaires au fonctionnement du bâtiment.
Des collisions douteuses en mer
Plusieurs collisions de navires de guerre américains avaient fait craindre des attaques numériques. Les recherches dans ce domaine ont montré que l’informatisation associée à une mauvaise organisation de l’équipage était la cause principale de ces naufrage meurtriers. La force navale américaine a décidé de revenir sur certains matériels qui offraient une assistance trop grande et étaient source d’erreurs. C’est ainsi que les tablettes tactiles disparaissent petit-à-petit des postes d’équipages, où la commande « traditionnelle » sous forme de joystick revient.
Des objets connectés sans protection
Beaucoup de protocoles utilisés dans la marine sont propriétaires, c’est-à-dire que leur code est en général protégé par ses ayants-droits, rarement changé et rarement évalué par une communauté. Les éventuelles failles ne sont pas corrigées et parfois inconnues de leurs concepteurs. Un détour par le site shodan.io, qui répertorie les objets connectés sur Internet, souvent sans protection, permet d’avoir beaucoup d’informations sur les bateaux en circulation. Voire dans certains cas extrêmes, de prendre la main sur des automates.
De la prévention mais aussi de la résilience
La fameuse attaque NotPetya de juin 2017 a paralysé de nombreux ports, conduisant la fermeture de terminaux. Le géant du commerce de conteneur Maersk a ainsi vu ses activités complètement bloquées. Des pertes entre 300 et 350 M$ sont évoquées. 50000 terminaux, serveurs et applications infectés sur 600 sites dans 130 pays. Pour son responsable Cyber, qui s’exprimait lors du conférence anglaise sur le sujet, l’important n’est pas forcément d’avoir des équipements pour prévenir, – il en faut – mais surtout une structure résiliente qui permet de tout reconstruire quand tout a disparu.
Le domaine maritime est très disputé. La Chine revendique régulièrement des ilots de sables qu’elle renforce et consolide au point que des pistes d’aéroport et des hangars y sont construits. Ces acquisitions lui permettent d’étendre son domaine maritime et de contrôler certaines routes.
La prise de contrôle à distance d’un navire ou l’envoi de mauvaises coordonnées GPS peut tromper un bateau au point qu’il se retrouve dans des zones nationales sans autorisation. L’arraisonnement d’un tanker britannique en juillet dernier, prétendument en zone iranienne, pourrait avoir été « provoqué » par une cyberattaque. C’est l’une des hypothèses avancées depuis.
Nul doute que ce sujet comme d’autres feront l’objet de discussions aux prochaines Assises de la sécurité de Monaco.
(*présenté lors de la conférence uniquement par son prénom)
David Kapp
Journaliste
Les plus lus…
Ce numéro 601 du magazine Face au Risque (mai-juin 2024) consacre un dossier spécial à la continuité d'activité durant…
En 2024, se tiendra un nombre inédit de scrutins et près de la moitié de la population mondiale sera…
La solution française de coffre-fort numérique Lockself a publié le 30 avril 2024 la première édition de son baromètre…
Publiée au JO le 23 avril 2024, la loi 2024-364 vise à transposer un grand nombre de dispositions adoptées…
Près de 600 000 accidents du travail et 789 décès ont été déclarés en 2022 en France. Devant l’importance…
L’Agence nationale de la sécurité des systèmes d'information (Anssi) a sollicité l’expertise du Cesin dans le cadre de la transposition…
