Cybermarétique : petite histoire des cyberattaques contre le secteur portuaire

Cybermarétique : quand les pirates informatiques s’en prennent aux ports | Stormshield

La cybersécurité maritime est devenue un enjeu majeur et global. Pour s’en convaincre, il suffit de quelques chiffres : alors que le transport maritime représente à lui seul près de 90% du commerce mondial, les grands ports maritimes auraient subi en moyenne 10 à 12 cyberattaques par jour en 2017 (d’après l'Union des Ports de France). Une tendance qui ne cesse de s’accentuer, puisque de son côté le cabinet Naval Dome observe une augmentation de 400% du nombre de cyberattaques dans le transport maritime en 2020. Les ports seraient-ils en eaux troubles ? Retour rapide sur les cyberattaques connues les plus notables de ces 10 dernières années.

 

Anvers, juin 2011 : un malware pour les espionner tous

En 2013, le port d’Anvers découvre qu’un cartel de la drogue a détourné à son profit le système d’aiguillage de conteneurs. En réalité, le réseau informatique du port est espionné depuis juin 2011, date à laquelle le réseau aurait été infiltré par des malwares, notamment un keylogger (permettant d’enregistrer les touches de clavier utilisées par les opérateurs de chargement/déchargement, et donc de capturer les identifiants et mots de passe).

Le port d’Anvers finit par re-sécuriser son système en investissant près de 200 000€ pour mettre en place des contremesures qui incluent une nouvelle gestion des mots de passe (permettant d’accéder aux containers) et de nouveaux canaux de communication entre opérateurs portuaires et services clients.

 

Rotterdam, juin 2017 : dommage collatéral d’une contagion à grande échelle

Le 30 juin 2017, le port de Rotterdam est infecté par Petrwrap, une version modifiée du ransomware NotPetya. Ce sont plus particulièrement deux terminaux à conteneurs opérés par APMT, filiale du groupe Møller-Maersk, qui voient leurs activités totalement paralysées. En effet, le port de Rotterdam est l’un des ports qui investit le plus dans l’automatisation complète de ses processus opérationnels (dans une logique de Smart port qui intègre aujourd’hui internet des objets et intelligence artificielle) et dépend donc d’autant plus de la stabilité de ses services informatiques.

En réaction, la municipalité de Rotterdam, les services de police et les autorités portuaires ont conjointement nommé un Port Cyber Resilience Officer pour améliorer le niveau de cyber-résilience du port, sensibiliser les acteurs sur les sujets de cybersécurité, améliorer l’entraînement de l’organisation et assurer une meilleure maîtrise des risques.

 

Long Beach, 2018 : le début d’une série d’attaques à l’international

Un an après celle de Rotterdam, une série de cyberattaques perturbe successivement les activités de plusieurs ports internationaux. C’est d’abord celui de Long Beach aux États-Unis qui est touché, et plus particulièrement le terminal de l’armateur China Ocean Shipping Company (COSCO) qui verra son système d’information contaminé dans la foulée par ce qui semble être un ransomware.

 

Barcelone, 2018 : des systèmes informatiques internes affectés

Le 20 septembre 2018, c’est au tour du port de Barcelone d’être attaqué. Peu d’informations filtrent alors, mais ce sont les systèmes informatiques internes qui semblent touchés, avec des incidences sur les processus de chargement/déchargement. Les exploitants se veulent cependant rassurants en soulignant qu’aucune activité maritime n’est impactée, les navires pouvant circuler et entrer au port.

 

San Diego, 2018 : une cyberattaque hautement sophistiquée

Une semaine plus tard, le port de San Diego est lui aussi perturbé par une cyberattaque « hautement sophistiquée » d’après The San Diego Union-Tribune, sans davantage d’information sur la technique employée. Les autorités portuaires confirment qu’il s’agit d’une attaque par ransomware qui a considérablement limité les capacités de leurs employés, ce qui aurait des « répercussions temporaires sur le service au public, en particulier les domaines des permis, des demandes de documents publics et des services commerciaux ».

 

Vancouver, 2018 : une (nouvelle) attaque de brute force

Et pour finir cette année 2018 très agitée, le port de Vancouver subit une attaque de type brute force en octobre, quelques mois après une autre attaque du même type. D’après cybermaretique.fr, près de 225 000 comptes utilisateur auraient été sondés ce jour-là, sans plus d’informations sur les conséquences de cette attaque DDoS. Par comparaison, les autorités portuaires locales admettent qu’elles sont quotidiennement sondées de la sorte, mais jamais pour plus de 6 000 comptes à la fois.

 

Marseille, mars 2020 : une cyberattaque peut en cacher une autre

En mars 2020, c’est au tour du port de Marseille de subir les effets d’un ransomware : Mespinoza/Pysa. Ici, les infrastructures maritimes ne sont pas directement visées, mais font les frais de leur interconnexion avec les systèmes d’information de la métropole d’Aix-Marseille-Provence, qui est la cible principale de cette attaque. Les effets auraient été largement amoindris par une réponse conjointe des RSSI des différentes organisations touchées.

Cette mésaventure est publiquement documentée par l’ANSSI qui a participé à l’analyse de risque et à la constitution des contremesures en place aujourd’hui. Un élément notable : en effectuant cet audit, l’ANSSI aurait localisé dans les services IT cibles plusieurs fichiers viraux prouvant l’intrusion d’autres logiciels malveillants dans les mois ou années précédentes. À chaque fois, les techniques d’intrusion utilisées n’auraient pas été « très évoluées ».

 

Shahid Rajaee, mai 2020 : une cyberattaque sur fond de conflit géopolitique

En mai 2020, le port de Shahid Rajaee (Iran) fait face à une interruption quasi complète de l’ensemble de ses processus opérationnels. Des sources internes communiquent aux journalistes du Washington Post que « les ordinateurs qui régulent le flux des navires, des camions et des biens sont tous tombés en panne au même moment, créant un chaos massif sur les voies navigables et sur les routes ».

Si le modus operandi n’est pas connu, des dignitaires américains se font écho d’une guerre numérique entre l’Iran et Israël. Cette cyberattaque serait alors une réponse à une offensive numérique menée contre le réseau d’eau israélien.

 

Langsten, juin 2020 : la rançon du succès

En juin 2020, le chantier naval de Langsten (Norvège), appartenant à l’entreprise Vard, est victime d’une attaque par ransomware. Si la société ne divulguera jamais les conséquences exactes et les détails techniques de l’agression, son porte-parole admet que les opérations tournent désormais au ralenti. Par ailleurs, la société admet que le chiffrement de ses données par le ransomware a été accompagné d’une brèche dans ses bases sans plus de détails concernant le volume ou l’importance des données subtilisées.

Cette attaque intervient alors que Vard connaît une restructuration organisationnelle fructueuse suite à son rachat par le constructeur italien Fincantieri et multiplie les commandes internationales.

 

Kennewick, novembre 2020 : la taille ne fait pas tout

En novembre 2020, le port de Kennewick est victime d’un ransomware qui verrouille complètement l’accès à ses serveurs. La surprise est grande pour ce petit port intérieur du pays, situé sur le fleuve Columbia, dans l’État de Washington, puisque son envergure stratégique est bien moindre que les grands ports maritimes commerciaux. Mais cela n’empêche pas les cyber-criminels de s’en prendre à ces cibles – souvent moins bien défendus – en espérant des retours sur investissement très importants.

Il faudra près d’une semaine aux autorités portuaires pour reprendre la main sur les données de son organisation en reconstruisant son système d’information grâce des sauvegardes. Les autorités portuaires et municipales de Kennewick supposent que l’ouverture malencontreuse d’une pièce jointe corrompue serait le point de départ de l’attaque.

 

Afrique du Sud, juillet 2021 : un cas de cyber-force majeure

En juillet 2021, ce sont quatre ports majeurs d’Afrique du Sud (Cape Town, Ngqura, Port Elizabeth et Durban) qui sont paralysés suite à l’attaque massive que subit la Transnet National Port Authority, le principal gestionnaire de fret du pays. Le communiqué officiel (relayé par Les Echos) qualifie l’attaque de « cas de force majeure », rendant « inutilisable son système informatique » ce qui ressemble aux effets des attaques par ransomware.

Cette attaque survient alors que Transnet et les autorités nationales se sont lancées dans un ambitieux programme de Smart port ultra sécurisé, avec la ville de Durban comme pilote.

 

Houston, août 2021 : secoué par une faille logicielle

D’après un communiqué officiel, le port de Houston aurait récemment résisté à une attaque exploitant une faille critique dans une solution de password management. Identifiée CVE-2021-40539, cette défaillance du logiciel (avec un score CVSS de 9,8 sur 10) permet facilement aux hackers d’implanter des web shells dans le système d’information de l’organisation, facilitant diverses actions : de l’extraction de données critiques à l’installation de malwares.

Les autorités portuaires affirment que les cyberdéfenses en place et le suivi du plan Plan de Sécurité des Installations (imposé par le Maritime Transportation Security Act (MTSA) aux États-Unis) ont permis de contrer la menace.

 

Une liste non-exhaustive.

 

Lien vers le rapport de Naval Dome, sur l’augmentation des cyberattaques dans le transport maritime
Lien vers le compte-rendu des 7e Assises du Port du futur de 2017 et le chiffre de l’Union des Ports de France (UPF) sur les 10 à 12 cyberattaques en moyenne par jour

Partager sur

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
Sur terre comme en mer, le secteur marin et tous ses acteurs doivent composer avec les cyber-menaces. Découvrez comment Stormshield accompagne les marines marchande et militaire, la construction navale, les énergies marines, les activités portuaires ou encore de pêche pour renforcer la sécurité des réseaux, des postes et des données dans ce secteur soumis à de fortes contraintes.

À propos de l'auteur

mm
Vincent Nicaise
Responsable des partenariats et de l'écosystème industriels

Fort d'une déjà longue expérience pro., Vincent navigue dans l'univers cyber avec une vraie appétence commerciale, marketing et technique. Passionné de street-art, de poulpe et de cybersécurité (pas forcément dans cet ordre), il est en charge des partenariats avec l’ensemble de l’écosystème cyber industriel. Tout un programme.