Des hackers de ransomware pourraient frapper la chaîne d’approvisionnement américaine, avertissent les experts

La chaîne d’approvisionnement mondiale, où les marchandises sont expédiées dans le monde entier, est déjà tendue grâce à un an et demi de fonctionnement pendant une pandémie. Il n’est vraiment pas nécessaire que les pirates informatiques souillent davantage les choses.

Mais les experts avertissent que l’industrie du transport maritime de 100 milliards de dollars – en particulier les ports fortement informatisés qui reçoivent les cargos, ainsi que les embarcations réelles – sont des cibles mûres pour les attaques de ransomware. Et l’industrie maritime américaine est déjà soutenue, car la pandémie de coronavirus a provoqué un arriéré, les Américains commandant plus de marchandises chez eux que jamais auparavant.

Les ransomwares peuvent entraver pratiquement toutes les organisations connectées à Internet : les écoles, les hôpitaux, les fabricants, les administrations municipales et les services de police sont tous des cibles fréquentes. Mais l’industrie du transport maritime, plus que la plupart, repose fortement sur l’interaction entre un certain nombre de systèmes numériques différents, des ports et des villes aux navires individuels et aux entreprises qui les possèdent.

Cela rend l’expédition particulièrement sensibles aux cyberattaques, a déclaré le contre-amiral John Mauger, commandant adjoint de la Garde côtière pour la politique de prévention.

« C’est une industrie qui repose sur la libre circulation de l’information », a déclaré Mauger. « Et en tant que tels, ils sont vulnérables aux perturbations dues aux attaques de ransomware. »

Le ransomware, une entreprise criminelle dans laquelle un pirate informatique ou un groupe de pirates informatiques chiffrera les ordinateurs d’une victime et exigera un paiement pour les restaurer, a fait un bond ces dernières années. Mais ce n’est qu’en juin, avec le piratage d’un important oléoduc américain, que l’inquiétude qu’un ransomware pourrait interrompre une infrastructure critique s’est installée.

La Maison Blanche s’est particulièrement inquiétée des attaques de ransomwares contre les infrastructures critiques, en publiant un décret obligeant ces entreprises à adopter des normes de cybersécurité de base et en demandant au président Vladimir Poutine de freiner les pirates informatiques en Russie, où vivent de nombreux opérateurs de ransomwares.

Mais jusqu’à présent, au moins certains pirates informatiques ne semblent pas avoir compris le message. Au moins cinq établissements de santé américains – qui, comme l’industrie du transport maritime, font partie des 16 catégories d’infrastructures critiques du pays – ont été touchés par des ransomwares depuis juin.

Au cours des dernières décennies, les ports maritimes sont devenus beaucoup plus dépendants des opérations robotiques et des stocks numérisés plutôt que du travail humain. Cela, associé à l’énorme valeur des marchandises qui transitent par les ports, en fait des cibles idéales pour les ransomwares, a déclaré Nina Kollars, professeur agrégé de recherche stratégique et opérationnelle à l’US Naval War College.

« Cela me tient éveillé la nuit », a déclaré Kollars. « La plupart de ces systèmes n’ont pas été conçus avec l’idée que quelqu’un allait essayer de jouer avec eux. Cela ne faisait pas partie du calcul.

Mettre un port hors ligne peut ralentir ses opérations normalement extrêmement efficaces, a-t-elle déclaré.

« Si je devais utiliser un manifeste papier – si je devais me diriger vers un grutier qui n’était pas assisté par un ordinateur d’une manière ou d’une autre, si tout n’était pas suivi par des codes-barres et des scanners – cela prendrait énormément de temps. pour charger ces navires », a-t-elle déclaré.

Les attaques de ransomware sur les ports se produisent déjà. Les ports de San Diego et Barcelone, Espagne, ont été touchés par des mineurs en 2018. En juillet, des pirates ont enfermé Transnet, une entreprise sud-africaine qui supervise les opérations des principaux ports maritimes du pays. Une attaque de ransomware a interrompu les opérations sur quatre des huit ports. Alors que de nombreux réseaux informatiques de l’entreprise ont été rapidement restaurés, cela a entraîné des retards continus qui ont retardé certaines expéditions de plusieurs semaines.

Dans un cas, les effets ont été dévastateurs pour l’industrie. Au cours de l’été 2017, des pirates informatiques ont ensuite découvert que les renseignements militaires russes avaient déclenché un programme malveillant appelé NotPetya, considéré par de nombreux experts comme la cyberattaque la plus destructrice de tous les temps. Il a verrouillé des fichiers, s’est propagé à autant d’ordinateurs qu’il a pu et a exigé un paiement, mais les pirates n’ont pas réellement conçu un moyen permettant aux victimes de récupérer leurs fichiers.

NotPetya a été ciblé pour perturber l’Ukraine alors qu’il se préparait à célébrer le Jour de la Constitution, une fête nationale, mais il s’est rapidement répandu dans le monde, infectant le géant danois du transport maritime Maersk. Plusieurs ports de Maersk ont ​​également été infectés, dont un à Elizabeth, New Jersey, qui a été paralysé pendant plusieurs jours.

En fin de compte, l’attaque a coûté à Maersk environ 300 millions de dollars, et l’entreprise a mis deux semaines pour reprendre ses activités à plein régime.

Pour la plupart des pirates ransomware, leur entreprise criminelle s’apparente à une entreprise. Un manuel divulgué pour un grand groupe, par exemple, a expliqué que la première étape de toute opération consiste à rechercher sur Google les revenus d’une victime potentielle et à ajuster sa demande financière en conséquence. Certains tentent délibérément de cibler les entreprises qui doivent se remettre immédiatement en ligne, comme les hôpitaux.

C’est pourquoi une attaque potentielle de ransomware sur un navire en mer, qui peut transporter chacun pour un milliard de dollars de nourriture, de produits de vente au détail ou de carburant, peut être une cible si tentante pour les criminels, a déclaré Dave Burke, ingénieur en chef de Fathom 5, un entreprise de cybersécurité spécialisée dans l’industrie maritime.

« Ma préoccupation concerne ceux qui ont des cargaisons suffisamment précieuses pour que les gens commencent à les regarder », a déclaré Burke. « Ils sont définitivement une cible de grande valeur. »

À ce jour, la plupart des attaques de ransomware contre les sociétés d’infrastructure n’ont touché que leurs réseaux d’entreprise, plutôt que les réseaux utilisés pour faire fonctionner les machines. Mais si un pirate informatique faisait ce saut, il pourrait se retrouver avec un pouvoir énorme pour perturber ou même arrêter un cargo en mer, a déclaré Burke.

« Si vous vous concentrez sur les composants internes des contrôleurs industriels – la direction ou les générateurs, la propulsion ciblée – il n’y a vraiment aucune sécurité », a-t-il déclaré.

« Ils ont été conçus dans de nombreux cas en supposant qu’ils étaient séparés du reste du réseau à bord du navire », a-t-il déclaré. « Mais nous voyons continuellement des systèmes interconnectés », a-t-il déclaré.

Historiquement, il y a eu peu de directives standardisées obligeant les cargos à se protéger des pirates informatiques. En mars, la Garde côtière a publié des directives de cybersécurité mises à jour pour les navires commerciaux entrant ou sortant des ports américains, dans le but de réduire le risque d’une telle attaque.

Néanmoins, l’application des normes de cybersécurité pour les navires multinationaux en provenance du monde entier est une tâche énorme, a déclaré Kollars.

« Je ne peux pas imaginer que les entreprises internationales soient très pressées de se conformer », a-t-elle déclaré.