En 2018, à l’ère de l’automatisation et de la mise en réseau, les attaques informatiques contre l’industrie du transport deviennent légion. Face à des systèmes bien souvent trop fragiles, les pirates rivalisent d’ingéniosité pour exploiter des brèches. Y compris dans les réseaux les plus sécurisés.
En mai dernier, à Copenhague, c'est une société de vélos en libre-service qui se retrouvait victime d'un piratage. Certes, primitif – l'effacement de leur base de données – mais qui conduisit néanmoins à la perte d’accès à la flotte de vélos et à la nécessité de tous les rebooter manuellement. Ancien employé rancunier, concurrence facétieuse ou simple ScriptKiddie, l'un de ces pirates informatiques amateurs aux succès accidentels ? Comme toujours, difficile d'identifier la motivation d'une telle attaque, aux conséquences assez limitées. Mais ce n'était qu'une compagnie de vélos... Imaginons – sans paniquer – quatre scénarios un peu plus spectaculaires.
Vers un “cyber-11-septembre” ?
Dans le second volet de la saga Die Hard avec Bruce Willis, 58 Minutes pour vivre, un aéroport se retrouve assiégé. Sans tour de contrôle fiable, les avions ne peuvent plus atterrir et s'écrasent, faute de carburant ou piégés par des informations faussées concernant la piste d'atterrissage. L'histoire se déroule en 1990 : 28 ans plus tard, les choses seraient très différentes. Contrairement au film, prodigue en fusillades, l'assaut d'une prise de contrôle pourrait aujourd'hui se faire beaucoup plus discrètement quand on sait qu’il faut en moyenne près de 300 jours pour réaliser qu'une structure informatique est corrompue...
Il faut en moyenne près de 300 jours pour réaliser qu'une structure informatique est corrompue
Plus besoin de commando, juste d'un pirate isolé capable par exemple d’identifier l'employé imprudent d'une compagnie low-cost, puis de l'amener à connecter une clé USB vérolée à son poste par exemple. Si les barrières sont nombreuses, les services des aéroports ainsi que les avions en eux-mêmes sont aujourd’hui tous connectés. Et donc fragiles : une fois entrée dans le serveur où se trouvent les billets d’avion du jour, une patiente attaque réseau pourrait, de fil en aiguille, d’un serveur à un autre, atteindre la tour de contrôle et en chemin, le système de tri des bagages ou de refuel des avions. Voire prendre le contrôle d’un avion. Si le temps de reconnaissance du terrain peut être long, provoquer le chaos ne peut nécessiter que quelques minutes, qu’il s’agisse de modifier la signalisation des pistes, de paralyser le transfert des bagages ou de faire déborder les réservoirs. Un “cyber-11-septembre” n’est pas à exclure, tant l’avion d’aujourd’hui est une machine technologique connectée. Ainsi, un piratage de l’intérieur de la cabine ou depuis le sol est bien à envisager : un chercheur américain avait par exemple réussi à modifier la direction d’un avion en envoyant une instruction à l’un des moteurs. John McClane - le héros incarné par Bruce Willis - n'aurait en 2018 plus que 3 Minutes pour vivre.
Piratage d’un système de vente de billets de train
À l'heure où le trafic ferroviaire s'ouvre à la concurrence, c'est l'un des scénarios les plus plausibles : non pas une déclaration de guerre interétatique qui se traduirait par un déraillement meurtrier, mais un micro-travail de sape qui ferait baisser l'image d'une marque aux yeux de ses clients. Veut-on pirater les sites ou multiplier les retards ? Faire un trou dans la caisse ou grignoter la marge petit-à-petit ?
Si le but est de torpiller la réputation d'une compagnie plutôt que de faire un casse, on fera en sorte de faire comme si chaque billet vendu ne l'avait pas été, jusqu'à ce que le quai se retrouve avec deux fois trop de voyageurs. Le système interbancaire SWIFT a déjà été hacké et pourrait l’être de nouveau, non pas dans le cas d’un simple casse mais d’une véritable attaque visant à provoquer des perturbations bien tangibles sur les quais. Le site d’une compagnie ferroviaire présente le même degré de complexité que n'importe quelle interface interbancaire en ligne et s'avère en tant que tel potentiellement piratable. Il est néanmoins plus intimidant dans la mesure où, en cas d'attaque, l'État lui-même pourrait se pencher sur ce qui se passe.
Stations-service, péages, tunnels : le réseau routier en potentiel danger
En piratant un système de paiement informatique, des pirates américains sont récemment parvenus à pirater une pompe à essence et à profiter de 1 500$ de pleins gratuits. En ce qui concerne le transport automobile, inutile de redouter la concurrence (elle n'existe pas vraiment), ni étatique. En revanche, des attaques de type ransomwares sur les péages et tous les tronçons payants du réseau routier, sont plus probables. Prenons l’exemple d’un exploitant de tunnel (type Mont Blanc, Eurotunnel) : quiconque s'emparerait du système informatique de contrôle pourrait alors faire chanter la compagnie responsable de l’infrastructure. La mainmise sur les évacuations d'air du tunnel peut être ici un redoutable moyen de chantage. Et avec un peu moins d'ambition, on pourra toujours se rabattre sur le contrôle des barrières de péages et des parkings...
Un tel piratage essayera ensuite de garder le contrôle le plus longtemps possible de ses leviers de chantage. Cela pourrait se faire avec un virus de type MyLobot, malware capable de tuer tous ses semblables, de réparer derrière lui les failles par lesquelles il s'est infiltré, puis de s'emmurer à l'intérieur du réseau.
Des cyber-hacktivistes contre la pollution maritime
Qu'est-ce qui pourrait pousser qui que ce soit à pratiquer une cyberattaque sur le fret maritime ? De nombreux sites expédient et reçoivent des produits toxiques comme à Gennevilliers par exemple, premier port autonome de France, où d'immenses réserves de pétrole et de gaz arrivent par voie fluviale. Après Barcelone et San Diego, un "hacktiviste" écologiste pourrait ainsi choisir de faire passer son message en infiltrant les systèmes informatiques de contrôle chargés de l'arrivée des bateaux.
Des systèmes qui fonctionnent généralement sans connexion Internet, mais pas forcément déconnectés et encore moins inattaquables. En effet, il existe toujours un moyen de traverser le fossé - nommé air gap - cernant ces pseudo-forteresses. Les feux rouges régulant la circulation sont bien contrôlés par un réseau : on peut imaginer que quelqu'un de malintentionné qui parviendrait à les manipuler aurait la possibilité d'engorger le port en y faisant entrer trop de bateaux, voire de provoquer des accidents.
À partir de là, ce n'est plus le second volet de Die Hard que l'on aura en tête, mais le quatrième, sorti en 2007, dans lequel la prise de contrôle de la signalisation par des pirates ne manque pas de conséquences tangibles. Il ne vaut mieux en effet pas que l’hacktiviste trouve l'accès à la vanne qui contrôle les réservoirs de récupération d'essence entre tankers – et ouvre la vanne en attendant que quelqu'un y jette son mégot. Pas écolo en l'occurrence, mais spectaculaire. Quitte à donner dans le scénario hollywoodien et les pirates spécialistes du trolling fluvial, on imagine facilement le Graal que représenterait la prise de contrôle du Canal de Panama.
Bien qu’imaginaires, ces scénarios illustrent la fragilité de l’industrie du transport et de ses réseaux. Étendus, distribués, diffus, interconnectés ; ce sont les caractéristiques-mêmes de ces réseaux qui les rendent particulièrement difficiles à sécuriser et par conséquent vulnérables. Pour apporter des premiers éléments de réponse à cette situation, les agences gouvernementales (comme l’ANSSI en France et le BSI en Allemagne) publient régulièrement des recommandations et bonnes pratiques.
Merci à Robert Wakim, Offer Manager Industry, pour son aide précieuse dans l'écriture de cet article, en collaboration avec Usbek & Rica.