Cyber-attaques et navigation de plaisance

Garmin a été victime d’une cyber-attaque qui a débuté le 23 juillet dernier et a duré plusieurs jours. La panne provoquée a perturbé un grand nombre de ses services en ligne.

Les clients de Navionics ne pouvaient plus accéder au serveur de Navionics via leurs identifiants de connexion. L’application Navionics Boating, l’installateur de cartes et le visualiseur de cartes Navionics ont tous été impactés. les produits ne pouvaient plus être achetés directement sur le site web de Navionics. Les traceurs de cartes pouvaient toujours être utilisés comme appareils autonomes pendant cette défaillance de Garmin, mais les cartes ne pouvaient plus être téléchargées ni mises à jour.

Jonathon Sweeney, directeur de programme chez Red Sky Alliance, un partenaire de la société britannique de sécurité maritime Dryad Global dans le domaine de la cybersécurité, interrogé par le magazine Yachting Monthly a évoqué la sécurité des systèmes de navigation en ligne et les mesures que les marins peuvent prendre pour se protéger contre une cyber-attaque (voir Sources)

Q. À la lumière de la récente panne de Garmin, dans quelle mesure la navigation en ligne est-elle vulnérable à une cyber-attaque ?

Il n’existe aucun service en ligne qui ne soit pas vulnérable à une cyber-attaque. Même les appareils qui sont « air-gapped » (intentionnellement déconnectés d’un réseau pour des raisons de sécurité) peuvent être vulnérables aux cyber-attaques.

Le GPS se compose de trois parties : les récepteurs, les satellites et les stations au sol. Chacune de ces parties est vulnérable à une attaque. Par exemple, si un hacker peut trafiquer le récepteur GPS d’un téléphone portable, il peut faire croire à l’appareil qu’il se trouve à un autre endroit, même si les satellites et les stations au sol ne sont pas touchés. Cela pourrait affecter un utilisateur individuel.

Si un attaquant réussit à activer un logiciel de rançon (ransomware) sur les systèmes qui maintiennent la station au sol en fonctionnement, cela peut interférer avec les capacités GPS de plusieurs utilisateurs, à moins que des stations au sol redondantes ne soient disponibles.

Avec l’augmentation des technologies opérationnelles (OT – matériel et logiciel qui détectent ou provoquent un changement par la surveillance et/ou le contrôle direct des dispositifs, processus et événements physiques), des technologies de l’Internet des objets (IoT : le réseau d’objets physiques « things » qui sont intégrés à des capteurs, logiciels et autres technologies dans le but de se connecter et d’échanger des données avec d’autres dispositifs et systèmes sur Internet), et l’augmentation des dispositifs connectés, ces systèmes ne feront que devenir plus vulnérables.

Q. Dans quelle mesure le réseau GPS est-il vulnérable aux attaques, telles que l’usurpation de GPS ?

Ce n’est pas quelque chose qu’un adolescent quelconque dans son sous-sol est susceptible de cibler. Bien que cela soit possible, le piratage d’un réseau GPS nécessite un niveau de compétence relativement élevé. Comme l’ont démontré les étudiants de l’université du Texas à Austin en 2013, l’usurpation de GPS peut être réalisée en neutralisant les signaux provenant des satellites et en les remplaçant par le signal du hacker. Comme nous l’avons vu lors de la panne de Garmin, il s’agissait d’une attaque du ransomware « WastedLocker (¹) » que l’on pense être le fait d’un groupe organisé connu sous le nom d’EvilCorp, et non d’un individu quelconque qui a eu de la chance.
La plus grande vulnérabilité dans cette chaîne de systèmes se situe au niveau du récepteur. Il est possible de pirater un satellite et/ou des systèmes au sol, mais il est beaucoup plus facile de cibler le récepteur, et beaucoup moins probable de déclencher des alarmes d’intrusion.

Q. Quelle est la probabilité que les scénarios ci-dessus se réalisent ?

En un mot, c’est peu probable. Il y a eu des preuves de faisabilité, mais les attaquants ne semblent pas cibler ces systèmes. Cela s’explique par le fait qu’il existe d’autres moyens plus simples et plus faciles de faire des bénéfices ou de nuire à une entreprise. Plus il sera facile de cibler ces systèmes, plus les attaques deviendront probables. Le scénario le plus probable serait celui d’un pays hostile qui usurperait le GPS d’un navire pour inciter ce dernier à errer en territoire restreint. Il pourrait alors s’emparer de ce navire pour des raisons politiques, financières ou autres, en prétendant qu’il est entré illégalement dans ses eaux territoriales.

Un autre scénario est celui où les hackers ciblent un navire avec des civils innocents et interfèrent avec le GPS pour des raisons de notoriété ou de profit. Là encore, plus les entreprises qui dépendent de systèmes connectés pour leur GPS sont nombreuses, plus il est probable qu’un attaquant en tire profit.

Q. Les pouvoirs publics et le secteur privé font-ils suffisamment d’efforts pour atténuer la menace d’une attaque sur les réseaux de navigation en ligne ?

Non. Ni le secteur public ni le secteur privé ne font assez pour réduire la menace qui pèse sur les systèmes de navigation. Si l’on en croit l’histoire, il faudra un événement beaucoup plus important que la panne de Garmin pour déclencher un changement dans ce domaine.
Si un navire de croisière devait s’échouer au milieu de l’océan sans système de navigation à cause d’une cyber-attaque, cela pourrait inciter les gens à être plus attentifs. Mais avec tout ce qui se passe dans le monde, de nombreuses entreprises et agences publiques sont déjà mises à rude épreuve.
Si Garmin et d’autres organismes du secteur public en faisaient assez pour sécuriser leurs systèmes, il y aurait peut-être encore eu une cyber-attaque, mais les dégâts n’auraient pas entraîné de panne, et encore moins la panne de Garmin qui a duré plusieurs jours.
C’est là qu’entrent en jeu la redondance et les sauvegardes, mais qui coûtent du temps, de l’argent, et d’autres ressources sont mises à rude épreuve.

Les gouvernements ne font pas non plus assez pour poursuivre les agresseurs. Des groupes comme EvilCorp connaissent un tel succès parce qu’ils peuvent rester en sécurité dans leur pays et qu’ils peuvent commettre des cyber-attaques en sachant qu’ils ne seront pas poursuivis ou punis. La pression exercée sur ces pays sûrs est loin d’être suffisante pour que ces agresseurs soient remis aux autorités compétentes.

Comme pour tous les aspects de la navigation, suivre les « meilleures pratiques » est le moyen le plus sûr de garantir la planification de votre route. La plupart d’entre nous naviguent à l’aide d’appareils multifonctions, de téléphones et de tablettes, et même de drones. Mais les dispositifs de sauvegarde électronique peuvent-ils s’y substituer…?

Q. Les plaisanciers doivent-ils s’inquiéter de la menace d’une cyber-attaque et de son impact sur la navigation en ligne ?

Pour l’instant, je ne serais pas inquiet en tant que marin de plaisance compétent. Tout d’abord, les plaisanciers sont beaucoup moins susceptibles d’être pris pour cible, car un agresseur ne gagnerait pas grand-chose à attaquer un individu (sauf si celui-ci est riche et/ou célèbre). De plus, si un marin de plaisance se retrouve bloqué, il peut appeler les services de surveillance et de sauvetage pour l’assister. Si un agresseur vise le GPS d’un navire des secours maritimes, la situation peut devenir beaucoup plus complexe.
Enfin, les plaisanciers devraient déjà savoir comment faire fonctionner leur bateau en cas de panne de l’électronique, ce qui en ferait une cible moins attrayante (²).

Q. Comment un plaisancier peut-il reconnaître que sa navigation électronique a été compromise ?

En bref la réponse est qu’un plaisancier ne le saurait probablement pas avant qu’il ne soit trop tard,  c’est-à-dire qu’il ait atteint une mauvaise destination. Le problème de l’usurpation d’identité est que le récepteur « pense » qu’il fonctionne toujours correctement et qu’il ne peut donc jamais afficher d’alarme indiquant que quelque chose ne va pas. Voici quelques éléments à surveiller :

  • les systèmes fonctionnant anormalement (fournissant des données inhabituelles, émettant des bruits anormaux, affichant des alertes de sécurité, etc.)
  • La navigation à l’écran ne correspond pas à la navigation visuelle (la trajectoire du navire semble incorrecte).
  • Dommages aux systèmes : surchauffe des appareils, applications/logiciels non chargés, etc.)

Un « bon » marin aurait toujours des cartes de navigation, un téléphone portable et une radio VHF à bord de son bateau de plaisance.

Q. Quelles mesures les plaisanciers peuvent-ils prendre pour pallier cette situation ?

Acheter des systèmes auprès de fournisseurs qui ont mis en place un certain niveau de sécurité dans leurs systèmes. Etre attentifs et conscients des menaces communes à ces types de systèmes. Ils ne sont pas une cible importante pour le moment, mais là encore, cela risque de changer à l’avenir. Garder tous les systèmes en ligne à jour avec les dernières mises à jour et les derniers correctifs logiciels. Cela est souvent difficile pour les non-initiés, mais de nombreux attaquants profitent de vulnérabilités qui sont publiques depuis des années.

Q. La navigation en ligne peut-elle être vraiment sûre ?

Sûr ? Oui. Inviolable ? Non ! Rien de ce qui est « en ligne » n’est jamais invincible aux cyber-attaques, mais il existe des moyens de sécuriser les communications entre les trois systèmes, comme le cryptage fort. Il est nécessaire de supprimer les mots de passe par défaut de tous les systèmes de navigation. Il est aussi essentiel de créer des systèmes de sauvegarde redondants et des coffres-forts non numériques aussi souvent que possible.
Ironiquement, l’un des moyens utilisés par de nombreuses entreprises pour se sécuriser consiste à payer quelqu’un pour pénétrer dans ces systèmes et à lui dire ensuite comment empêcher un agresseur de faire de même (ce qu’on appelle un test de pénétration).

(Sources) Yachting Monthly via Geogarage blog

———
(¹) Ransomware: tout ce que vous devez savoir
(²) Des alignements et du sextant
———

Facebooktwittermail

One Reply to “Cyber-attaques et navigation de plaisance”

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.