LovePhy - Fotolia
Des bateaux à portée de clic (des pirates) ?
Le moteur de recherche spécialisé dans les objets connectés Shodan publie désormais une carte des navires dont certains systèmes peuvent être accessibles en ligne.
Ship Tracker, c’est une toute nouvelle carte proposée par Shodan. Le célèbre moteur de recherche dédié aux objets connectés y présente la position d’une centaine de milliers de navires. Le chercheur français x0rz n’a pas manqué de se pencher aussitôt sur le sujet, cherchant les navires connectés en profitant des systèmes satellites Sailor VSAT de Cobham (anciennement Thrane & Thrane).
Shodan permet d’en trouver rapidement plusieurs à travers le monde, en Russie, en Italie, à Hong Kong, voire au Royaume-Uni ou en Australie et aux Etats-Unis. Et la sécurité informatique ne semble pas être la première priorité de ceux qui les ont installés : x0rz n’a ainsi pas manqué de trouver des systèmes aux identifiants par défaut. De là, il est possible de modifier le firmware ou encore la configuration du système de communication par satellite. Et ce n’est que l’exemple d’un constructeur de ce type de systèmes. A ce stade, il est toutefois difficile de dire s’il est possible d’aller plus loin et d’intervenir notamment sur les systèmes de navigation à partir de ce seul point d’entrée.
Mais la situation n’a rien d’anodin. Le chercheur Lucas Lundgren indique ainsi avoir contacté Cobham. La configuration du système ne devrait pas être accessible : « c’est supposé répondre à des besoins de test. Il faut indiquer manuellement ses coordonnées GPS pour calibrer […] Si c’était modifié sur un environnement en conditions réelles, ce serait un désastre pour tous les instruments ». Avec à la clé perte de connexion avec le satellite, ainsi que des repères de navigation. Conclusion : « c’est très mauvais ».
Duuuuuude, default creds everywhere. I'm connected to a motherfucking ship as admin right now. Hacking ships is easy 😏 pic.twitter.com/UmLPIveTah
— x0rz (@x0rz) July 18, 2017
Au printemps 2015, plusieurs organisations armatoriales mondiales se sont réunies pour présenter des projets visant à protéger le transport maritime contre d’éventuelles attaques informatiques. Elles évoquaient alors le risque d’attaques malicieuses sur les systèmes embarqués en soulignant que « la question de la protection est un ensemble complexe de problèmes et qu’il ne s’agit pas seulement d’exploiter un pare-feu sur un navire ou d’installer un anti-virus sur les ordinateurs embarqués ». De fait, les organisations concernées relevaient que « tous les principaux systèmes d’un navire moderne sont contrôlés et surveillés par logiciel. Cela inclut les moteurs, les systèmes de navigation et de gouverne, les équipements de gestion du ballastage et de manutention de la marchandise ».
Déjà à l’automne 2013, trois chercheurs avaient fait la démonstration de la vulnérabilité du système d’identification automatique des bateaux (AIS), via plusieurs typologies d’attaque. Le système est loin d’être anodin puisqu’il permet de suivre les navires, avec une gestion centralisée pour les autorités portuaires, mais aussi aux bateaux de communiquer entre eux, avec des applications telles que l’aide à la navigation, l’évitement de collision, la facilitation des recherches et des secours, etc.
Les chercheurs estimaient, il y a bientôt quatre ans, qu’AIS est devenu essentiel pour la marine internationale, mais que le système est « cassé au niveau de l’implémentation » comme à celui « du protocole même. »