Rechercher
  • CyberDetection

Cybersécurité et transports : et si un hacker prenait le contrôle de votre métro ?

Article paru dans https://www.leparisien.fr/ le 25 octobre 2020 par Jean-Gabriel BONTINCK et Jila VAROQUIER Imaginez. Un mardi pluvieux, entre 8 heures et 9 heures du matin. D'un seul coup, tous les métros et les trains d'Ile-de-France s'arrêtent. Certains en plein milieu d'un tunnel ou d'un pont. Pire, un RER ne parvient pas à freiner et fonce dans celui qu'il suit à 100 km/h. Cette scène est l'œuvre d'un ou de plusieurs hackers malveillants dont la seule motivation est de déclencher le chaos. Et de paralyser Paris.


Bien que peu probable, ce scénario catastrophe n'est pas tout à fait impossible. Car les cybermenaces sont grandissantes. Selon le magazine spécialisé MagIt, le mois de septembre 2020 a enregistré un nombre record de cyberattaques. Et le secteur des transports fait partie des cibles privilégiées. « Pour plusieurs raisons, estime Jean-Nicolas Piotrowski, président d'ITrust, entreprise de cybersécurité. On peut perturber une nation en bloquant ses transports (Contrôle aériens, trains, autoroutes, réseau automobile…). Et si les trains actuels ont encore des systèmes embarqués fermés et cloisonnés, ce qui limite les possibilités d'intrusion, les futurs trains connectés devront eux se prémunir du risque de cyber attaques ».

Signe que cette guerre silencieuse interpelle les opérateurs de transports, la SNCF vient de signer un contrat d'un an avec ITrust. L'objectif de l'entreprise de cybersécurité sera de protéger les trains en prévoyant et prévenant d'éventuelles futures attaques qui pourraient impacter la société et ses équipements. « Et si l'utilisation de l'intelligence artificielle dans cette mission réussit, nous signerons un contrat pour mieux les protéger », détaille encore Jean-Nicolas Piotrowski. « Un contrat de recherche et développement, sans plus », répond-on à la SNCF, qui rappelle que la sécurité est sa priorité numéro un, avant même de faire arriver les trains à l'heure.Des transports connectés et donc, plus fragiles.


Car, pour augmenter leurs performances, les transports en communs sont plus intelligents et plus connectés qu'il y a une dizaine d'années. En juillet 2019, la SNCF est ainsi parvenue à piloter à distance un « train drone ». A la RATP, les bus peuvent désormais se garer tout seuls, et les lignes de métros automatiques se multiplient (après les lignes 1 et 14, la 4 va devenir à son tour automatique). Des avancées technologiques qui représentent en même temps de nouvelles brèches possibles dans lesquelles des pirates informatiques pourraient s'immiscer.Du côté de la RATP, on se veut rassurant. La régie rappelle que « les systèmes de conduite et d'aide à l'exploitation sont « par défaut » isolés de tous les autres systèmes, notamment tout ce qui est connecté à l'Internet ». Mais la menace peut exister même si le réseau n'est pas connecté sur l'extérieur. Ainsi, l'une des plus grosses attaques connues, qui a visé les centrales nucléaires iraniennes en 2010, est partie… d'une clé USB insérée dans un ordinateur du site.


Des menaces venues de tous les horizonsLes auteurs potentiels de cyberattaques sont multiples. Un rapport intitulé « Maîtrise des risques liés aux aspects de cybersécurité et sécurité ferroviaire », publié à l'issue d'un congrès il y a deux ans et coécrit par deux experts de la RATP, classe ainsi les risques pour un système de transports.

Selon ce rapport, la pire menace pour un réseau proviendrait, par exemple, d'un « Etat dictatorial » qui déciderait de s'attaquer aux transports dans un but de « destruction ou de subversion de la société » ou pour des « gains financiers ». Car il disposerait d'une force de frappe telle qu'il pourrait « usurper et prendre contrôle des systèmes de contrôle/commande » des trains… Mais les pirates pourraient tout aussi bien être un concurrent ou un fournisseur, un ancien employé avec qui la rupture s'est mal passée, voire des associations ou des organisations politiques ou syndicales qui chercheraient à dérober des informations. En tout, le rapport identifie environ 70 menaces de degrés divers, sur des intérêts marginaux, stratégiques ou vitaux, provenant de dizaines « d'hostiles » potentiels. Soit plus de 900 scénarios différents à anticiper. La RATP confirme qu'elle « évalue les risques portant sur ses systèmes d'information » et en déduit « plusieurs plans de traitement visant notamment à perfectionner (sa) stratégie de défense ». Et les dégâts potentiels sont évidemment fonction des attaquants. « Le scénario d'un train fou contrôlé à distance et utilisé comme une arme est aujourd'hui impossible », affirme Jean-François Beaudoin, senior vice-président Digital Mobility chez Alstom. Celui d'un groupe qui décide d'arrêter tous les trains, en revanche, « est un peu moins impossible ». Mais on peut aussi imaginer une prise de contrôle des écrans d'affichage, pour y inscrire un message humoristique ou, plus grave, une menace, une demande de rançon.2 millions d'attaques en cinq semaines.

Impossible toutefois d'obtenir de statistiques sur le nombre d'attaques que subissent chaque année les entreprises. Des attaques quotidiennes, hebdomadaires, mensuelles ? Les données restent ultra-confidentielles. Sans doute pour ne pas encourager des esprits malveillants à se lancer. Et parce que l'image des entreprises piratées serait vite écornée.


Pour avoir une idée du nombre de tentatives d'intrusion que subissent les opérateurs de transports, il faut se reporter à une simulation d'un réseau qui a été menée en ligne. L'expérimentation a duré cinq semaines et le réseau fictif a subi sur cette période près de… 2 millions d'attaques ! Car une attaque n'est pas forcément visible. Elle peut être plus insidieuse que le détournement d'un train.

«S'ils décèlent une vulnérabilité, ils se demandent s'il est opportun d'attaquer»« Avant même de songer à attaquer, les groupes viennent d'abord frapper à la porte, passer la tête pour voir s'il y a une faille dans nos lignes de défense, poursuit-on chez Alstom. Leur métier est de faire de la reconnaissance. S'ils décèlent une vulnérabilité, alors là, ils se demandent s'il est opportun d'attaquer ».

Pour se protéger, les réseaux de transports doivent s'équiper de protections de plus en plus sophistiquées : « Nos systèmes disposent de plusieurs lignes de défense, certaines intégrant par exemple des chiffrements forts que personne aujourd'hui n'est capable de déchiffrer rapidement, ajoute le constructeur. Cela nous laisse le temps de fermer des portes temporairement, pour empêcher les assaillants d'accéder aux systèmes vitaux — commande de trains par exemple — et de changer le verrou ».Les attaques prendront donc plus de temps et laisseront la possibilité aux informaticiens de trouver une solution. Mais désormais, le domaine des transports n'est pas plus à l'abri que les autres secteurs.


«Si quelqu’un en a la volonté, c’est toujours possible»Lilian Planche, expert dans la cybersécurité des transports pour le cabinet Egis, a notamment conduit une étude sur la future ligne 18 du métro : « Le Grand Paris Express est le premier moyen de transport à prendre en compte la cybersécurité dès sa conception ». Il détaille quels peuvent être les risques de piratage dans les transports.

Les transports en commun ont-ils déjà été la cible d’attaques informatiques ?

Lilian Planche. Je cite souvent dans mes formations la compagnie ferroviaire CSX infectée en 2003 par un virus qui a interrompu le trafic et provoqué des retards de plusieurs heures durant une journée pour tous les trains de l’est des Etats-Unis. Un autre exemple impressionnant, c’est l’accident d’un tramway qui a même fait des blessés à Lodz, en Pologne, en 2009. Là, c’est presque une caricature : un jeune étudiant a pris le contrôle d’un aiguillage à distance, au moment où le tram passait. Le système de communication n’utilisait ni authentification ni chiffrement. Plus récemment, en 2017, tout le système de billettique des transports publics de San Francisco a été bloqué à cause d’un administrateur informatique qui a téléchargé un logiciel pirate embarquant un rançongiciel.

Est-ce que des hackers pourraient aujourd’hui prendre le contrôle d’un train ou d’un métro ?

Dans l’absolu, oui. Si quelqu’un en a la volonté, c’est toujours possible. Les matériels roulants sont de plus en plus connectés donc cela élargit la surface d’attaque. Si une organisation malveillante a suffisamment de moyens et de ressources, elle y arrivera. Mais ce n’est pas un risque très probable. La question est de savoir quelles sont les difficultés pour y arriver. Actuellement, cela reste plus facile de poser une bombe dans une station de métro que de s’en prendre au système de contrôle d’un train.

Les transports en commun sont-ils suffisamment sécurisés ?

Il y a clairement eu une prise de conscience de la part des opérateurs et des industriels. La loi de 2014 et surtout ses décrets d’application de 2016 sont passés par là. Avant, c’était le cadet de leur souci, mais depuis, ils ont rattrapé le temps perdu. C’est aussi lié à la numérisation des moyens de communication. Aujourd’hui, les protocoles informatiques pour piloter un train s’appuient sur les mêmes technologies de base que les réseaux grand public. Cela crée de nouveaux risques, mais cela a aussi entraîné une meilleure protection. Les échanges sont chiffrés, on surveille qui accède à quoi. Avant, il n’y avait qu’une barrière, aujourd’hui, on dresse des remparts à chaque niveau. Le niveau global de cybersécurité s’améliore.


À LIRE AUSSI :

Le transporteur CMA CGM torpillé par un ransomware

L'Organisation maritime internationale touchée par une cyberattaque "sophistiquée"

Les 5 secteurs d'activité les plus exposés aux cyber-menaces

LA CYBERSÉCURITÉ POUR PETITES ET MOYENNES ENTREPRISES

DÉTECTION PAR ANTICIPATION

DES CYBERMENACES

Logo_journal_de_la_cybersécurité.png

L'actualité Cybersécurité &

Les nouveautés CyberDetection !