La cybersécurité maritime est devenue un enjeu majeur et global. Pour s’en convaincre, il suffit de quelques chiffres : alors que le transport maritime représente à lui seul près de 90% du commerce mondial, les grands ports maritimes auraient subi en moyenne 10 à 12 cyberattaques par jour en 2017 (d’après l'Union des Ports de France). Une tendance qui ne cesse de s’accentuer, puisque de son côté le cabinet Naval Dome observe une augmentation de 400% du nombre de cyberattaques dans le transport maritime en 2020. Les ports seraient-ils en eaux troubles ? Retour rapide sur les cyberattaques connues les plus notables de ces 10 dernières années.
Houston, août 2021 : secoué par une faille logicielle
D’après un communiqué officiel d'août 2021, le port de Houston aurait résisté à une attaque exploitant une faille critique dans une solution de password management. Identifiée CVE-2021-40539, cette défaillance du logiciel (avec un score CVSS de 9,8 sur 10) permet facilement aux hackers d’implanter des web shells dans le système d’information de l’organisation, facilitant diverses actions : de l’extraction de données critiques à l’installation de malwares.
Les autorités portuaires affirment que les moyens de protection en place et le suivi du Plan de Sécurité des Installations (imposé par le Maritime Transportation Security Act, MTSA, aux États-Unis) ont permis de contrer la menace.
Afrique du Sud, juillet 2021 : un cas de cyber-force majeure
En juillet 2021, ce sont quatre ports majeurs d’Afrique du Sud (Cape Town, Ngqura, Port Elizabeth et Durban) qui sont paralysés suite à l’attaque massive que subit la Transnet National Port Authority, le principal gestionnaire de fret du pays. Le communiqué officiel (relayé par Les Echos) qualifie l’attaque de « cas de force majeure », rendant « inutilisable son système informatique » ce qui ressemble aux effets des attaques par ransomware.
Cette attaque survient alors que Transnet et les autorités nationales se sont lancées dans un ambitieux programme de Smart port ultra sécurisé, avec la ville de Durban comme pilote.
Kennewick, novembre 2020 : la taille ne fait pas tout
En novembre 2020, le port de Kennewick est victime d’un ransomware qui verrouille complètement l’accès à ses serveurs. La surprise est grande pour ce petit port intérieur du pays, situé sur le fleuve Columbia, dans l’État de Washington, puisque son envergure stratégique est bien moindre que les grands ports maritimes commerciaux. Mais cela n’empêche pas les cyber-criminels de s’en prendre à ces cibles – souvent moins bien défendus – en espérant des retours sur investissement très importants.
Il faudra près d’une semaine aux autorités portuaires pour reprendre la main sur les données de son organisation en reconstruisant son système d’information grâce des sauvegardes. Les autorités portuaires et municipales de Kennewick supposent que l’ouverture malencontreuse d’une pièce-jointe corrompue serait le point de départ de l’attaque.
Langsten, juin 2020 : la rançon du succès
En juin 2020, le chantier naval de Langsten (Norvège), appartenant à l’entreprise Vard, est victime d’une attaque par ransomware. Si la société ne divulguera jamais les conséquences exactes et les détails techniques de l’agression, son porte-parole admet que les opérations tournent désormais au ralenti. Par ailleurs, la société admet que le chiffrement de ses données par le ransomware a été accompagné d’une brèche dans ses bases sans plus de détails concernant le volume ou l’importance des données subtilisées.
Cette attaque intervient alors que Vard connaît une restructuration organisationnelle fructueuse suite à son rachat par le constructeur italien Fincantieri et multiplie les commandes internationales.
Shahid Rajaee, mai 2020 : une cyberattaque sur fond de conflit géopolitique
En mai 2020, le port de Shahid Rajaee (Iran) fait face à une interruption quasi complète de l’ensemble de ses processus opérationnels. Des sources internes communiquent aux journalistes du Washington Post que « les ordinateurs qui régulent le flux des navires, des camions et des biens sont tous tombés en panne au même moment, créant un chaos massif sur les voies navigables et sur les routes ».
Si le modus operandi n’est pas connu, des dignitaires américains se font écho d’une guerre numérique entre l’Iran et Israël. Cette cyberattaque serait alors une réponse à une offensive numérique menée contre le réseau d’eau israélien.
Marseille, mars 2020 : une cyberattaque peut en cacher une autre
En mars 2020, le port de Marseille subit les effets d’un ransomware, connu sous le nom de Mespinoza/Pysa. Ici, les infrastructures maritimes ne sont pas directement visées, mais font les frais de leur interconnexion avec les systèmes d’information de la métropole d’Aix-Marseille-Provence, qui est la cible principale de cette attaque. Les effets auraient été largement amoindris par une réponse conjointe des RSSI des différentes organisations touchées.
Cette mésaventure est publiquement documentée par l’ANSSI qui a participé à l’analyse de risque et à la constitution des contremesures en place aujourd’hui. Un élément notable : en effectuant cet audit, l’ANSSI aurait localisé dans les services IT cibles plusieurs fichiers viraux prouvant l’intrusion d’autres logiciels malveillants dans les mois ou années précédentes. À chaque fois, les techniques d’intrusion utilisées n’auraient pas été « très évoluées ».
Vancouver, 2018 : une (nouvelle) attaque de brute force
Pour finir une année 2018 très agitée (cf ci-dessous), le port de Vancouver subit une attaque de type brute force en octobre, quelques mois après une autre attaque du même type. D’après cybermaretique.fr, près de 225 000 comptes utilisateur auraient été sondés ce jour-là, sans plus d’informations sur les conséquences de cette attaque DDoS. Par comparaison, les autorités portuaires locales admettent qu’elles sont quotidiennement sondées de la sorte, mais jamais pour plus de 6 000 comptes à la fois.
San Diego, 2018 : une cyberattaque hautement sophistiquée
En septembre de la même année, le port de San Diego est lui aussi perturbé par une cyberattaque « hautement sophistiquée » d’après The San Diego Union-Tribune, sans davantage d’information sur la technique employée. Les autorités portuaires confirment qu’il s’agit d’une attaque par ransomware qui a considérablement limité les capacités de leurs employés, ce qui aurait des « répercussions temporaires sur le service au public, en particulier les domaines des permis, des demandes de documents publics et des services commerciaux ».
Barcelone, 2018 : des systèmes informatiques internes affectés
Quelques jours plus tôt, en septembre 2018 toujours, le port de Barcelone était attaqué. Peu d’informations filtrent alors, mais ce sont les systèmes informatiques internes qui semblent touchés, avec des incidences sur les processus de chargement/déchargement. Les exploitants se veulent cependant rassurants en soulignant qu’aucune activité maritime n’est impactée, les navires pouvant circuler et entrer au port.
Long Beach, 2018 : le début d’une série d’attaques à l’international
Les cyberattaques de l'année 2018 démarrent donc celle qui impacte le port de Long Beach aux États-Unis. C'est plus particulièrement le terminal de l’armateur China Ocean Shipping Company (COSCO) qui verra son système d’information contaminé dans la foulée par ce qui semble être un ransomware.
Rotterdam, juin 2017 : dommage collatéral d’une contagion à grande échelle
Le 30 juin 2017, le port de Rotterdam est infecté par Petrwrap, une version modifiée du ransomware NotPetya. Ce sont plus particulièrement deux terminaux à conteneurs opérés par APMT, filiale du groupe Møller-Maersk, qui voient leurs activités totalement paralysées. En effet, le port de Rotterdam est l’un des ports qui investit le plus dans l’automatisation complète de ses processus opérationnels (dans une logique de Smart port qui intègre aujourd’hui internet des objets et intelligence artificielle) et dépend donc d’autant plus de la stabilité de ses services informatiques.
En réaction, la municipalité de Rotterdam, les services de police et les autorités portuaires ont conjointement nommé un Port Cyber Resilience Officer pour améliorer le niveau de cyber-résilience du port, sensibiliser les acteurs sur les sujets de cybersécurité, améliorer l’entraînement de l’organisation et assurer une meilleure maîtrise des risques.
Anvers, juin 2011 : un malware pour les espionner tous
En 2013, le port d’Anvers découvre qu’un cartel de la drogue a détourné à son profit le système d’aiguillage de conteneurs. En réalité, le réseau informatique du port est espionné depuis juin 2011, date à laquelle le réseau aurait été infiltré par des malwares, notamment un keylogger (permettant d’enregistrer les touches de clavier utilisées par les opérateurs de chargement/déchargement, et donc de capturer les identifiants et mots de passe).
Le port d’Anvers finit par re-sécuriser son système en investissant près de 200 000€ pour mettre en place des contremesures qui incluent une nouvelle gestion des mots de passe (permettant d’accéder aux containers) et de nouveaux canaux de communication entre opérateurs portuaires et services clients.
Une liste non-exhaustive.
Lien vers le rapport de Naval Dome, sur l’augmentation des cyberattaques dans le transport maritime
Lien vers le compte-rendu des 7e Assises du Port du futur de 2017 et le chiffre de l’Union des Ports de France (UPF) sur les 10 à 12 cyberattaques en moyenne par jour
