Le secteur maritime à la merci des pirates numériques

Si des bateaux sont toujours arraisonnés par des pirates, un autre type de flibustiers est désormais redouté.

Peu de gens le savent, et rares sont ceux qui en ont conscience, mais une grande partie de l’économie mondiale passe par les voies maritimes. La matinée prospective organisée par l’entreprise Qualys et le Cesin était l’occasion de le rappeler.

Quelques chiffres égrenés en préambule par le Lieutenant de Vaisseau Olivier*, expert en cybersécurité industrielle et maritime, permettent d’en prendre la mesure :

• 71 % de la surface de la terre est océanique

• 95 % des communications traversent l’océan via les câbles sous-marins

• 90 % des marchandises échangées transitent par la mer

• 60 % du pétrole brut mondial et 90 % du pétrole brut français passent par la mer

• + de 52 % du trafic de marchandises en Europe est assuré par le secteur maritime

• En 2016, 10 milliards de tonnes ont été transportées par la mer, c’est 210 % de plus depuis 2000.

La France joue un rôle particulier dans ce domaine puisqu’elle dispose du second domaine maritime mondial après les États-Unis et devant l’Australie.

Le trafic augmente considérablement. Le rail d’Ouessant voit ainsi passer chaque année 55 000 bâtiments. Le trafic augmente, mais le nombre de bateaux n’augmente pas de manière proportionnelle. Chez les constructeurs, la course au gigantisme est lancée et la taille des bâtiments ne cesse d’augmenter. En effet, transporter plus sur un même navire permet de réaliser des économies d’échelle.

Les chantiers de Saint-Nazaire ont ainsi réalisé Symphony of the seas, un navire de croisière hors-norme qui permet de transporter près de 9000 passagers (dont 2394 membres d’équipages).

MSC détient le record, de quelques centimètres, avec le MSC Samar, tandis que plusieurs se disputent une taille de près de 400 mètres. Ces bateaux peuvent emporter jusqu’à 23 756 conteneurs. Placés les uns derrière les autres, ils couvriraient une distance de 140 km ! Quant aux marchandises qu’ils abritent, ils représentent plusieurs milliards de dollars flottant en même temps sur l’océan.

Cette course au gigantisme n’est possible qu’avec des prouesses techniques et une assistance de plus en plus grande de l’électronique embarquée, de l’informatique et des systèmes de commande.

C’est ainsi que plusieurs systèmes disparates et complexes sont interconnectés et reliés à la terre ou à des satellites.

Les bateaux emportent désormais avec eux des mini data centers chargés de faire fonctionner tous les appareils nécessaires à la vie à bord.

Les ports se sont aussi massivement équipés en informatique. Preuve de la vitalité du secteur, des essais de bateaux autonomes sont en cours, notamment des ferrys. Rolls-Royce a ainsi testé en Finlande (en anglais) des ferrys de voyageurs entièrement autonomes.

Paradoxalement, le changement climatique permet au secteur d’envisager des économies sur le long terme – même si des doutes subsistent sur l’impact exact sur le secteur. Des routes impossibles auparavant sont désormais ouvertes plus au nord, « grâce » à la fonte des glaces. Certains itinéraires pourraient être raccourcis de 5000 à 7000 km.

Face à ces nombreux changements, le secteur s’organise. Le sujet du cyber dans la marine s’appelle la cybermarétique et soulève autant d’espoirs que de craintes. Des filières supérieures commencent à se mettre en place en France.

Plusieurs collisions de navires de guerre américains avaient fait craindre des attaques numériques. Les recherches dans ce domaine ont montré que l’informatisation associée à une mauvaise organisation de l’équipage était la cause principale de ces naufrage meurtriers. La force navale américaine a décidé de revenir sur certains matériels qui offraient une assistance trop grande et étaient source d’erreurs. C’est ainsi que les tablettes tactiles disparaissent petit-à-petit des postes d’équipages, où la commande « traditionnelle » sous forme de joystick revient.

Beaucoup de protocoles utilisés dans la marine sont propriétaires, c’est-à-dire que leur code est en général protégé par ses ayants-droits, rarement changé et rarement évalué par une communauté. Les éventuelles failles ne sont pas corrigées et parfois inconnues de leurs concepteurs. Un détour par le site shodan.io, qui répertorie les objets connectés sur Internet, souvent sans protection, permet d’avoir beaucoup d’informations sur les bateaux en circulation. Voire dans certains cas extrêmes, de prendre la main sur des automates.

La fameuse attaque NotPetya de juin 2017 a paralysé de nombreux ports, conduisant la fermeture de terminaux. Le géant du commerce de conteneur Maersk a ainsi vu ses activités complètement bloquées. Des pertes entre 300 et 350 M$ sont évoquées. 50000 terminaux, serveurs et applications infectés sur 600 sites dans 130 pays. Pour son responsable Cyber, qui s’exprimait lors du conférence anglaise sur le sujet, l’important n’est pas forcément d’avoir des équipements pour prévenir, – il en faut – mais surtout une structure résiliente qui permet de tout reconstruire quand tout a disparu.

Le domaine maritime est très disputé. La Chine revendique régulièrement des ilots de sables qu’elle renforce et consolide au point que des pistes d’aéroport et des hangars y sont construits. Ces acquisitions lui permettent d’étendre son domaine maritime et de contrôler certaines routes.

La prise de contrôle à distance d’un navire ou l’envoi de mauvaises coordonnées GPS peut tromper un bateau au point qu’il se retrouve dans des zones nationales sans autorisation. L’arraisonnement d’un tanker britannique en juillet dernier, prétendument en zone iranienne, pourrait avoir été « provoqué » par une cyberattaque. C’est l’une des hypothèses avancées depuis.

Nul doute que ce sujet comme d’autres feront l’objet de discussions aux prochaines Assises de la sécurité de Monaco.

(*présenté lors de la conférence uniquement par son prénom)