Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

Routes, trains, bus… un bilan des menaces cyber contre les transports urbains

Peur sur la ville

Routes, trains, bus… un bilan des menaces cyber contre les transports urbains

L’ANSSI vient de publier un rapport sur l’état de la menace contre les opérateurs de transports urbains. Les principaux risques sont détaillés, avec des exemples de compromissions un peu partout dans le monde ces dernières années.

Le 18 avril à 10h55

Les transports urbains et en communs représentent un enjeu sensible à cause de leur nature critique : « Certaines infrastructures de transport urbain connaissent une forte pression (plusieurs millions d’usagers par jour pour certains réseaux) ». À cela s’ajoutent de vastes réseaux auxquels s’interconnectent de nombreuses entités externes, augmentant ainsi la surface d’attaque pour les pirates. Un mélange potentiellement détonnant et qu’il faut donc surveiller de près.

32 incidents en 5 ans

Selon le décompte de l’ANSSI, entre janvier 2020 et décembre 2024, l’Agence a traité 123 « événements de sécurité d’origine cyber » sur les transports urbains (ferroviaire, routier, guidé, fluvial). Dans le lot, il y a eu 91 signalements (c’est-à-dire des comportements anormaux ou inattendus) et 32 incidents. Ces derniers signifient qu’un acteur malveillant a réussi sa cyberattaque contre le système d’information, avec des conséquences pouvant être variées.

Les trois principales manifestations des attaques sont le DDoS, des fuites de données et des usurpations d’identité. Elles « représentent plus de la moitié des signalements et incidents portés à la connaissance de l’ANSSI ».

Néanmoins, « aucune conséquence significative sur le fonctionnement des entités concernées n’a été identifiée à la suite de ces activités ». Les attaques DDoS ont pu « être contenues par les mesures de sécurité en place et ont provoqué, dans les cas les plus graves, des indisponibilités de très courte durée des sites visés », explique l’ANSSI.

Le trio du jour : le gain, la déstabilisation et l’espionnage

L’Agence détaille trois motivations : l’appât du gain, la déstabilisation et l’espionnage. Dans le premier cas, « la majorité des attaques à des fins lucratives observées semble davantage de nature opportuniste qu’orientées spécifiquement contre ces entreprises et services ». Les transports ne sont donc pas spécialement ciblés, mais si l’occasion se présente, les pirates ne s’en privent pas. Les principaux outils des pirates sont l’hameçonnage et l’exploitation de failles.

Dans le second cas (déstabilisation), des attaques peuvent être menées par « des États visant à saboter ces réseaux critiques, ou des acteurs appartenant à la mouvance hacktiviste, qui conduisent des attaques par déni de service distribué ». Comme nous l’avons déjà expliqué, les Jeux Olympiques et Paralympiques de Paris 2024 étaient l’occasion pour les pirates d’essayer de « briller », de faire parler d’eux. Il y a eu 83 incidents de cybersécurité, mais aucun événement majeur, affirme l’ANSSI.

Même chose pour l’espionnage (industriel ou individuel) dont des modes opératoires sont réputés liés à des États. Le secteur transports offre des « opportunités intéressantes pour des services de renseignement », mais la discrétion reste de mise.

« Des cyberattaques contre des entités du secteur ont été constatées dans le monde sans que la finalité exacte des attaques comme l’identité de la menace n’aient pu être établies de manière certaine, mais qui pourraient relever de l’espionnage », explique l’ANSSI.

Des compromissions par rançongiciels ont eu lieu

L’Agence détaille néanmoins quatre « compromissions ou tentatives de compromission par rançongiciel ». La première compromission concerne « l’infrastructure de virtualisation du comité d’entreprise d’une entité du secteur », sans plus de détails.

En 2023 puis en 2024, des rançongiciels ont chiffré des données d’une entreprise spécialisée dans les services de mobilité (et une de ses filiales), puis une autre des transports urbains. Une souche de rançongiciel a été observée en 2022 sur l’infrastructure d’un réseau de bus lors d’une tentative de compromission.

L’ANSSI publie un commentaire qui n’est pas nouveau, mais toujours bon à rappeler : « dans le cas d’une attaque par rançongiciel, l’ANSSI recommande de ne jamais payer la rançon qui ne garantit pas l’obtention d’un moyen de déchiffrement, incite les cybercriminels à poursuivre leurs activités et entretient ce système frauduleux […] L’expérience montre par ailleurs que l’obtention de la clé de déchiffrement ne permet pas toujours de reconstituer l’intégralité des fichiers chiffrés ».

Détourner la signalisation

Un chapitre est consacré au détournement d’équipements de signalisation, avec des conséquences potentiellement très importantes. L’ANSSI se fait l’écho de travaux de chercheurs qui, en 2020, ont « démontré la possibilité de manipuler des feux de signalisation  […] Ils sont parvenus à manipuler les temps d’attente entre les changements de feux de signalisation afin d’accélérer le passage au vert pour les cyclistes ». Ils ne semblent pour autant pas avoir pu faire passer au vert plusieurs feux qui ne sont pas censés l’être en même temps, au risque de créer des accidents.

En 2022, à Hanovre en Allemagne, des chercheurs « sont parvenus à manipuler les systèmes de feux de signalisation à certaines intersections […] Ils ont exploité une technologie obsolète conçue pour permettre à certains véhicules (voitures de police et de pompiers, ambulances, bus locaux) de circuler plus rapidement sans s’arrêter aux feux ».

Il serait techniquement impossible de causer des accidents, ajoute l’ANSSI, mais il y a de quoi largement perturber le trafic. La communication entre les véhicules et les infrastructures (dont la signalisation) est, pour rappel, une des technologies du V2X (Vehicle-to-everything) sur laquelle des constructeurs travaillent.

Ces preuves de concept permettent de mesurer l’ampleur des dégâts potentiels tout en expliquant que cela ne demande pas de capacités sophistiquées. « Toutefois, l’ANSSI n’a pas connaissance d’exploitation réelle de ces capacités à des fins de nuisance par des acteurs offensifs ».

26 recommandations

La fin du rapport est consacrée à pas moins de 26 recommandations, allant d’actions aussi élémentaires que la sensibilisation du personnel et le cloisonnement des systèmes d’informations, à la limitation des dépendances aux technologies de géolocalisation par satellite GNSS (Global navigation satellite system), aux mises à jour et aux sauvegardes.

Commentaires (6)

votre avatar
Ils connaissent pas les vlan en 2025 et faire des réseaux physiquement séparés :ooo:
votre avatar
La maturité en terme de cybersécurité / IT des entreprises est loin d'être acquise. Il y en a qui reviennent de très loin.

Il ne faut pas oublier que les exigences non fonctionnelles sont généralement perçues comme des coûts et non comme de la valeur dans les projets IT. C'est plus facile d'avoir du budget pour proposer une solution métier qui apporte de la valeur plutôt qu'un projet de remédiation de dette qui ne "créé rien" du point de vue du décisionnel.

Voilà un des aspects avec lesquels une gouvernance IT doit jongler.
votre avatar
Dur dur de rouler en Cassatt. :D
votre avatar
Achète boitier permettant d'avoir tout les feux aux vert, discrétion garantie....
Ce sont les promesses des séries TV des années 80-90 : le boitier à feux verts, la voiture qui te dépose à destination et va se garer seule (et revient te chercher bien sûr).
En cas de voiture volante, le boitier à feux rouges n'est plus obligatoire.
votre avatar
Travaillant dans la cyber pour le fero, le plus grand risque c'est la compromission "invisible". Une attaque qui modifie discrètement les valeurs d'un capteur et induit un fonctionnement anormal du train. Le plus gros risque étant la vitesse du train qui serait 'trafiqué' pour causer un accident majeur.
C'est pour ça que l'on se retrouve avec des techo des années 90-2000 dans les calculateurs avec encore de l’analogique et des bus en RS485 :'(
votre avatar
Ce n’est pas une garantie de sécurité bien sûr mais des fois, les vieilles technos offrent moins de surface d’attaque.

Routes, trains, bus… un bilan des menaces cyber contre les transports urbains

  • 32 incidents en 5 ans

  • Le trio du jour : le gain, la déstabilisation et l’espionnage

  • Des compromissions par rançongiciels ont eu lieu

  • Détourner la signalisation

  • 26 recommandations

Fermer