Le secteur maritime dans la ( cyber) tempête
Réalisé par l’association France Cyber Maritime et OWN, une société de conseil spécialisée, un rapport dresse un paysage alarmant des cyberattaques contre le secteur maritime.
Le 11 mai dernier, l’association France Cyber Maritime1 et OWN, une société spécialisée qui propose un CERT inter- entreprises, ont présenté le premier Panorama de la cybermenace maritime. Les données et analyses sont issues des travaux du M- CERT ( Maritime Computer Emergency Response Team) et D’OWN. Sans grande surprise, le nombre d’attaques a explosé, plus 235 % par rapport à 2020 et plus 21 % par rapport à 2022. « Près de 90 incidents de cybersécurité notables et publics ont été détectés en 2022 dans le secteur maritime et portuaire au niveau mondial » , recense le rapport. Un chiffre sans aucun doute loin de la réalité. Cette progression est liée aux activités cybercriminelles, les rançongiciels arrivent en tête, mais aussi à des visées politiques. Depuis le début de la guerre en Ukraine, plusieurs groupes de hackers s’en prennent en particulier à la supply chain. Des attaques potentiellement dangereuses pour l’ensemble de l’économie mondiale. 80 % des marchandises transitent par bateau.
Les attaques touchent tous les acteurs de cette chaîne, ports, armateurs, navires, chantiers navals, logistique… Les approches sont classiques, phishing d’abord, avec utilisation de pièces jointes pour installer des infostealer comme Lokibot… Les clés USB, toujours utilisées entre autres pour des mises à jour sur les navires, servent encore et toujours de vecteurs de propagation de codes malveillants. 24 familles d’infostealers affectant le maritime ont été recensées en 2022 avec une nette majorité d’échantillons de Formbook ( aussi appelé Xloader), Agent Tesla, Snake Keylogger et Lokibot. L’ingénierie sociale est également mise à contribution. Plus original, les investigations D’OWN ont dressé un constat alarmant. Nombre de ces attaques ont impliqué
Créée en 2020, et soutenue par L’ANSSI, France Cyber Maritime regroupe 70 membres, de l’écosystème maritime au sens large. un haut niveau de connaissances métiers. Pour illustrer le propos, le rapport détaille entre autres l’activité d’un « acteur de la menace » , baptisé POSEIDON- IS_ 001 par les experts. Les ports et leurs installations sont également visés. Dans le contexte d’une numérisation accrue des activités maritimes, les systèmes d’information des ports couplent IT et OT. Dans un navire, la propulsion, la navigation, l’alimentation électrique… sont gérées par des systèmes de contrôle industriel de type SCADA. Ces systèmes sont devenus aujourd’hui de nouvelles cibles. S’il reste difficile d’avoir une estimation des attaques menées dans ce contexte, et si la technicité qu’elles nécessitent limite le nombre d’attaquants, l’activité d’un groupe baptisé Bentonite, a été identifiée. Il pourrait utiliser un code malveillant baptisé « Incontroller » pour les installations traitant le Gaz Naturel Liquéfié ( GNL) et les réseaux électriques, selon la société Dragos, spécialisée dans la sécurité de L’OT.
Autre « cas d’usage » pour les hackers : les systèmes de Positionnement, de Navigation et de Temps ( PNT) comme les GNSS qui utilisent le GPS. Des attaques par brouillage ou par leurrage peuvent bloquer des navires à quai ou les faire dévier de leur route. Une zone importante de brouillage GPS impacte une bonne partie de la mer Noire jusqu’aux côtes Roumaines. Côté leurrage, les cas plus fréquemment étudiés montrent que des zones où une multitude de navires se retrouvent. Les câbles sous- marins sont aussi visés. Une attaque contre un câble a été identifiée l’année dernière. Une liste loin d’être exhaustive… et les experts prévoient que cette tendance devrait s’accentuer à l’avenir ! Le rapport ne se limite toutefois pas à ce panorama, mais liste aussi les mesures à prendre pour réduire le risque. Il devrait faciliter le développement d’un réseau d’expertise en cybersécurité maritime.