Cybermarétique : quand les pirates informatiques s’en prennent aux ports | Stormshield

La cybersécurité maritime est devenue un enjeu majeur et global. Pour s’en convaincre, il suffit de quelques chiffres : alors que le transport maritime représente à lui seul près de 90% du commerce mondial, les grands ports maritimes auraient subi en moyenne 10 à 12 cyberattaques par jour en 2017 (d’après l'Union des Ports de France). Une tendance qui ne cesse de s’accentuer, puisque de son côté le cabinet Naval Dome observe une augmentation de 400% du nombre de cyberattaques dans le transport maritime en 2020. Les ports seraient-ils en eaux troubles ? Retour rapide sur les cyberattaques connues les plus notables de ces 10 dernières années.

 

Houston, août 2021 : secoué par une faille logicielle

D’après un communiqué officiel d'août 2021, le port de Houston aurait résisté à une attaque exploitant une faille critique dans une solution de password management. Identifiée CVE-2021-40539, cette défaillance du logiciel (avec un score CVSS de 9,8 sur 10) permet facilement aux hackers d’implanter des web shells dans le système d’information de l’organisation, facilitant diverses actions : de l’extraction de données critiques à l’installation de malwares.

Les autorités portuaires affirment que les moyens de protection en place et le suivi du Plan de Sécurité des Installations (imposé par le Maritime Transportation Security Act, MTSA, aux États-Unis) ont permis de contrer la menace.

 

Afrique du Sud, juillet 2021 : un cas de cyber-force majeure

En juillet 2021, ce sont quatre ports majeurs d’Afrique du Sud (Cape Town, Ngqura, Port Elizabeth et Durban) qui sont paralysés suite à l’attaque massive que subit la Transnet National Port Authority, le principal gestionnaire de fret du pays. Le communiqué officiel (relayé par Les Echos) qualifie l’attaque de « cas de force majeure », rendant « inutilisable son système informatique » ce qui ressemble aux effets des attaques par ransomware.

Cette attaque survient alors que Transnet et les autorités nationales se sont lancées dans un ambitieux programme de Smart port ultra sécurisé, avec la ville de Durban comme pilote.

 

Kennewick, novembre 2020 : la taille ne fait pas tout

En novembre 2020, le port de Kennewick est victime d’un ransomware qui verrouille complètement l’accès à ses serveurs. La surprise est grande pour ce petit port intérieur du pays, situé sur le fleuve Columbia, dans l’État de Washington, puisque son envergure stratégique est bien moindre que les grands ports maritimes commerciaux. Mais cela n’empêche pas les cyber-criminels de s’en prendre à ces cibles – souvent moins bien défendus – en espérant des retours sur investissement très importants.

Il faudra près d’une semaine aux autorités portuaires pour reprendre la main sur les données de son organisation en reconstruisant son système d’information grâce des sauvegardes. Les autorités portuaires et municipales de Kennewick supposent que l’ouverture malencontreuse d’une pièce-jointe corrompue serait le point de départ de l’attaque.

 

Langsten, juin 2020 : la rançon du succès

En juin 2020, le chantier naval de Langsten (Norvège), appartenant à l’entreprise Vard, est victime d’une attaque par ransomware. Si la société ne divulguera jamais les conséquences exactes et les détails techniques de l’agression, son porte-parole admet que les opérations tournent désormais au ralenti. Par ailleurs, la société admet que le chiffrement de ses données par le ransomware a été accompagné d’une brèche dans ses bases sans plus de détails concernant le volume ou l’importance des données subtilisées.

Cette attaque intervient alors que Vard connaît une restructuration organisationnelle fructueuse suite à son rachat par le constructeur italien Fincantieri et multiplie les commandes internationales.

 

Shahid Rajaee, mai 2020 : une cyberattaque sur fond de conflit géopolitique

En mai 2020, le port de Shahid Rajaee (Iran) fait face à une interruption quasi complète de l’ensemble de ses processus opérationnels. Des sources internes communiquent aux journalistes du Washington Post que « les ordinateurs qui régulent le flux des navires, des camions et des biens sont tous tombés en panne au même moment, créant un chaos massif sur les voies navigables et sur les routes ».

Si le modus operandi n’est pas connu, des dignitaires américains se font écho d’une guerre numérique entre l’Iran et Israël. Cette cyberattaque serait alors une réponse à une offensive numérique menée contre le réseau d’eau israélien.

 

Marseille, mars 2020 : une cyberattaque peut en cacher une autre

En mars 2020, le port de Marseille subit les effets d’un ransomware, connu sous le nom de Mespinoza/Pysa. Ici, les infrastructures maritimes ne sont pas directement visées, mais font les frais de leur interconnexion avec les systèmes d’information de la métropole d’Aix-Marseille-Provence, qui est la cible principale de cette attaque. Les effets auraient été largement amoindris par une réponse conjointe des RSSI des différentes organisations touchées.

Cette mésaventure est publiquement documentée par l’ANSSI qui a participé à l’analyse de risque et à la constitution des contremesures en place aujourd’hui. Un élément notable : en effectuant cet audit, l’ANSSI aurait localisé dans les services IT cibles plusieurs fichiers viraux prouvant l’intrusion d’autres logiciels malveillants dans les mois ou années précédentes. À chaque fois, les techniques d’intrusion utilisées n’auraient pas été « très évoluées ».

 

Vancouver, 2018 : une (nouvelle) attaque de brute force

Pour finir une année 2018 très agitée (cf ci-dessous), le port de Vancouver subit une attaque de type brute force en octobre, quelques mois après une autre attaque du même type. D’après cybermaretique.fr, près de 225 000 comptes utilisateur auraient été sondés ce jour-là, sans plus d’informations sur les conséquences de cette attaque DDoS. Par comparaison, les autorités portuaires locales admettent qu’elles sont quotidiennement sondées de la sorte, mais jamais pour plus de 6 000 comptes à la fois.

 

San Diego, 2018 : une cyberattaque hautement sophistiquée

En septembre de la même année, le port de San Diego est lui aussi perturbé par une cyberattaque « hautement sophistiquée » d’après The San Diego Union-Tribune, sans davantage d’information sur la technique employée. Les autorités portuaires confirment qu’il s’agit d’une attaque par ransomware qui a considérablement limité les capacités de leurs employés, ce qui aurait des « répercussions temporaires sur le service au public, en particulier les domaines des permis, des demandes de documents publics et des services commerciaux ».

 

Barcelone, 2018 : des systèmes informatiques internes affectés

Quelques jours plus tôt, en septembre 2018 toujours, le port de Barcelone était attaqué. Peu d’informations filtrent alors, mais ce sont les systèmes informatiques internes qui semblent touchés, avec des incidences sur les processus de chargement/déchargement. Les exploitants se veulent cependant rassurants en soulignant qu’aucune activité maritime n’est impactée, les navires pouvant circuler et entrer au port.

 

Long Beach, 2018 : le début d’une série d’attaques à l’international

Les cyberattaques de l'année 2018 démarrent donc celle qui impacte le port de Long Beach aux États-Unis. C'est plus particulièrement le terminal de l’armateur China Ocean Shipping Company (COSCO) qui verra son système d’information contaminé dans la foulée par ce qui semble être un ransomware.

 

Rotterdam, juin 2017 : dommage collatéral d’une contagion à grande échelle

Le 30 juin 2017, le port de Rotterdam est infecté par Petrwrap, une version modifiée du ransomware NotPetya. Ce sont plus particulièrement deux terminaux à conteneurs opérés par APMT, filiale du groupe Møller-Maersk, qui voient leurs activités totalement paralysées. En effet, le port de Rotterdam est l’un des ports qui investit le plus dans l’automatisation complète de ses processus opérationnels (dans une logique de Smart port qui intègre aujourd’hui internet des objets et intelligence artificielle) et dépend donc d’autant plus de la stabilité de ses services informatiques.

En réaction, la municipalité de Rotterdam, les services de police et les autorités portuaires ont conjointement nommé un Port Cyber Resilience Officer pour améliorer le niveau de cyber-résilience du port, sensibiliser les acteurs sur les sujets de cybersécurité, améliorer l’entraînement de l’organisation et assurer une meilleure maîtrise des risques.

 

Anvers, juin 2011 : un malware pour les espionner tous

En 2013, le port d’Anvers découvre qu’un cartel de la drogue a détourné à son profit le système d’aiguillage de conteneurs. En réalité, le réseau informatique du port est espionné depuis juin 2011, date à laquelle le réseau aurait été infiltré par des malwares, notamment un keylogger (permettant d’enregistrer les touches de clavier utilisées par les opérateurs de chargement/déchargement, et donc de capturer les identifiants et mots de passe).

Le port d’Anvers finit par re-sécuriser son système en investissant près de 200 000€ pour mettre en place des contremesures qui incluent une nouvelle gestion des mots de passe (permettant d’accéder aux containers) et de nouveaux canaux de communication entre opérateurs portuaires et services clients.

Une liste non-exhaustive.

 

Lien vers le rapport de Naval Dome, sur l’augmentation des cyberattaques dans le transport maritime
Lien vers le compte-rendu des 7e Assises du Port du futur de 2017 et le chiffre de l’Union des Ports de France (UPF) sur les 10 à 12 cyberattaques en moyenne par jour

Partager sur

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
Sur terre comme en mer, le secteur marin et tous ses acteurs doivent composer avec les cyber-menaces. Découvrez comment Stormshield accompagne les marines marchande et militaire, la construction navale, les énergies marines, les activités portuaires ou encore de pêche pour renforcer la sécurité des réseaux, des postes et des données dans ce secteur soumis à de fortes contraintes.
Pour rester compétitifs et performants, la transformation numérique des ports est donc devenue une étape indispensable. La dernière décennie a ainsi vu naître les « smart ports », ces ports intelligents qui s’appuient sur les nouvelles technologies pour automatiser et accélérer les processus logistiques. Problème : cette transformation s’accompagne d’une hausse des cyberattaques visant le transport maritime. Quels sont les vecteurs de risques propres à l’activité portuaire ? Comment assurer une sécurité portuaire ?
À propos de l'auteur
mm
Vincent Nicaise Responsable des partenaires et de l'écosystème industriels, Stormshield

Fort d'une déjà longue expérience pro., Vincent navigue dans l'univers cyber avec une vraie appétence commerciale, marketing et technique. Passionné de street-art, de poulpe et de cybersécurité (pas forcément dans cet ordre), il est en charge des partenariats avec l’ensemble de l’écosystème cyber industriel. Tout un programme.