Cybermenaces : pour que les transports contre-attaquent

Un week-end de novembre 2016, les passagers du Muni, le réseau de métro de San Francisco, ont eu droit à un cadeau de Noël en avance. À la suite de l’attaque d’un « ransomware » (« virus-rançon ») contre son système informatique, le Muni a dû désactiver les billetteries automatiques et décréter l’accès gratuit au métro. Cela a duré deux jours, le temps que les autorités enquêtent sur les auteurs du piratage, qui auraient exigé 100 bitcoins de rançon (monnaie virtuelle). Le Muni a refusé de payer et est parvenu à rétablir le système le lundi suivant. Bien que la cyberattaque ait sérieusement perturbé les systèmes informatiques du Muni, la situation aurait pu être bien pire. Elle a amené les experts à s’interroger sur la manière dont les opérateurs de transport pourraient réagir dans le cas d’une attaque lancée par des cyberterroristes déterminés à causer des dommages bien plus sérieux.

DES CIBLES DE CHOIX

La cybersécurité est une source de préoccupation pour tous les secteurs, mais celui de la mobilité partagée représente une cible particulièrement vulnérable, du fait de la complexité, et parfois de la vétusté, de ses systèmes informatiques. Selon Stan Engelbrecht, Directeur de la Cybersécurité chez 3D Security Services, société spécialisée dans la sécurité et la protection des personnes et des entreprises, « les systèmes de contrôle et d’acquisition de données (SCADA) gèrent l’automatisation, qui permet la bonne coordination des réseaux de transport collectif. Certains de ces systèmes ont été déployés dans les années 1970 et il va sans dire qu’ils n’ont pas été conçus pour les standards de cybersécurité actuels. Ils sont considérés comme des cibles vulnérables par les communautés de hackers et les méthodes pour les pirater sont assez facilement accessibles. »
Les systèmes de contrôle et de gestion sont de plus en plus dépendants de l’automatisation et des technologies de l’information. Cela les expose à des cyberattaques complexes, qu’elles soient le fait de groupes terroristes ou d’individus déterminés à gagner de l’argent rapidement. En 2016, en Corée du Sud, de multiples tentatives de piratage ont visé les adresses électroniques des cheminots, dans le but de prendre le contrôle du système de transport. Et de telles attaques peuvent être dévastatrices.
« Elles peuvent détruire les équipements informatiques d’un réseau de transport public, les rendre inutilisables, en transférer le contrôle à une entité extérieure ou compromettre la confidentialité des données des employés ou des passagers », avait averti l’American Public Transportation Association (APTA) dans son rapport sur la sécurité informatique dans les transports publics, publié en 2014.

QUAND « SMART » RIME AVEC VULNÉRABLE

L’interconnectivité des systèmes est au cœur du problème. Les infrastructures de transport urbain étaient autrefois basées sur des systèmes fermés et propriétaires. Mais, à mesure que les villes deviennent plus intelligentes, elles privilégient naturellement les infrastructures de transport connectées. Ces dernières offrent en effet de nombreux avantages : une sécurité accrue, des délais d’intervention plus courts en cas d’urgence, des réparations plus rapides sur les infrastructures, une circulation plus fluide et même une réduction des émissions de CO₂.

En résulte une exposition plus importante des systèmes de transport à d’éventuelles attaques, permettant aux pirates informatiques de cibler non seulement la technologie de l’information, mais aussi la technologie opérationnelle qui gère l’ensemble des systèmes de signalisation et de contrôle d’une ville.

Parmi les ressources techniques que les opérateurs de transport doivent impérativement protéger, on peut citer les systèmes de contrôle des équipements de signalisation, qui peuvent être utilisés pour modifier la synchronisation des feux de circulation, les interfaces de paiement sans contact (NFC), le Bluetooth et la lecture de codes-barres, sans oublier les systèmes de comptage automatique des passagers.

Enfin, « les sociétés de transport collectif détiennent beaucoup d’informations sur les passagers », note Nicolas Vermuseau, Directeur de la sécurité informatique chez Keolis. « Il y a donc un risque que les données des passagers soient volées et utilisées à des fins de chantage, ou encore vendues sur le web, où la cybercriminalité est devenue une industrie et où même une portion d’information a un prix. »

DES FAILLES DANS LE SYSTÈME

Le problème est que la plupart des systèmes de transport public ne sont pas à la hauteur. L’informatique et les réseaux de communication modernes ont été greffés sur des infrastructures vétustes, laissant ainsi de nombreuses failles dans le système. Il est envisageable, par exemple, qu’un individu malveillant prenne le contrôle des panneaux d’affichage électroniques pour diffuser des informations trompeuses. Ce fut le cas en mai 2017, lorsque les écrans d’information de l’Union Station de Washington ont été piratés pour diffuser une vidéo pornographique pendant les heures de pointe. Bien que déplorable, ce piratage n’est rien comparé aux perturbations qui pourraient être provoquées par la diffusion de faux messages ou, pire, par la prise de contrôle à distance d’un tramway ou d’un train par des hackers.

Les villes et les opérateurs de transport doivent également faire face à la diversité croissante des attaques, parmi lesquelles les « ransomwares », qui, selon le rapport 2018 Data Breach de Verizon, ont augmenté de 50 % en 2017, toutes entreprises et secteurs confondus.

PRENDRE LE PROBLÈME À BRAS-LE-CORPS

De Dubaï à Barcelone, les opérateurs peinent encore à identifier les bonnes solutions. Dans un rapport de 2017, Cisco Systems, leader mondial de la technologie de serveurs, a constaté que les spécialistes de la sécurité travaillant dans le secteur des transports collectifs avaient conscience de la multiplication des menaces informatiques. Parmi leurs préoccupations figuraient les piratages furtifs et continus, connus sous le nom d’Advanced Persistent Threats (APT), et le recours aux objets connectés, qui peuvent être contrôlés via des applications malveillantes pour manipuler les opérateurs et les inciter à prendre des risques.

Les professionnels de la sécurité ont également fait état du manque de formation du personnel sur ces questions. Cette situation est préoccupante, car pour faire face à la recrudescence des menaces à la cybersécurité, les villes auront besoin de personnel expérimenté, de politiques et de procédures de sécurité efficaces pour anticiper et réagir.

Lindsey Mancini explique que les organisations doivent créer une véritable culture de la cybersécurité pour lutter contre la cybercriminalité. Chaque personne doit s’impliquer dans la protection du système et prendre conscience des risques de son rôle – du conseil d’administration aux équipes du terrain.

RENFORCER LES POLITIQUES DE SÉCURITÉS

À l’image de Singapour, de plus en plus de villes déploient des campagnes de sensibilisation internes et des programmes de formation dédiés aux transports collectifs. Nombreuses sont celles qui appliquent les bonnes pratiques, en conduisant des audits et en déployant des mesures de sécurité (numérique et physique) pour protéger leurs ressources. Toujours selon le rapport Cisco de 2017, les trois quarts des opérateurs interrogés ont déclaré avoir déployé des centres d’opérations de sécurité (COS), et 14 % ont pour projet d’en créer. Par ailleurs, près de 90 % des professionnels de la sécurité ont déclaré que leur structure fait partie d’un organisme de normalisation en matière de sécurité. Près de 80 % attestent, enfin, effectuer des simulations d’attaque au moins une fois par trimestre.

Si c’est un bon début, cela reste insuffisant. Le fait que les opérateurs travaillent main dans la main avec les Autorités Organisatrices de Transport, qui elles-mêmes louent souvent les infrastructures à des tiers, complique encore les choses. Vient ensuite la question des prestataires externes et autres sous-traitants. « Les opérateurs n’ont absolument aucun contrôle sur l’environnement informatique de leurs prestataires », souligne Lindsey Mancini. On pourrait aller plus loin, par exemple en travaillant plus étroitement avec les partenaires et les fournisseurs à la définition d’un cadre de sécurité commun – dans le domaine de la protection des données, par exemple – et en réalisant des audits réguliers des filiales, comme le fait Keolis (18 filiales ont été auditées ces trois dernières années ainsi que 130 de leurs sites internet).

UNE SÉCURITÉ PENSÉE DÈS LA CONCEPTION

Les opérateurs d’Europe et des États-Unis subissent des pressions croissantes de la part des gouvernements pour mettre en œuvre des mesures de sécurité adaptées, signaler les cyberincidents et se conformer au cadre réglementaire. On peut par exemple citer la directive européenne sur la sécurité des réseaux et des systèmes d’information (directive NIS), entrée en vigueur en août 2016, qui vise à renforcer la cybersécurité à l’échelle de l’UE, et le règlement général sur la protection des données, adopté en 2016 et applicable depuis mi-2018. Pour sécuriser les systèmes anciens, les opérateurs peuvent essayer d’isoler les fonctions cruciales. Pour les plus récents, la solution consiste à intégrer les problématiques de sécurité dès la phase de conception, c’est-à-dire à définir les objectifs et les contrôles de sécurité dès le lancement du projet.

En vertu de ce principe, les opérateurs doivent se pencher sur les moyens de garantir la sécurité d’un produit ou d’un système tout au long de son cycle de vie : de sa conception à son intégration dans un système existant, jusqu’à son obsolescence.

Cette approche est fondée sur une analyse a priori des risques et permet d’anticiper les problèmes de sécurité.
Garder une longueur d’avance sur les cybercriminels restera un défi pour les villes ; le prix à payer pour devenir de plus en plus « smart ».