XY Magazine

Les transports publics cibles des cyber criminels

Listen Later

Les transports publics cibles des cyber criminels. C’est un aspect souvent peu évoqué du risque cyber. De plus en plus de technologies informatiques sont intégrées dans les solutions de mobilité.

L’agence nationale de la Sécurité des Systèmes d’information (ANSSI) alerte sur plusieurs types de menaces informatiques qui pèsent sur les transports urbains français et mondiaux. Le secteur est considéré comme sensible en raison de sa criticité, transportant des millions d’usagers par jour.

La complexité de ses vastes réseaux interconnectés avec de nombreuses entités externes augmente la surface d’attaque.

Les transports publics cible des cyber criminels

L’ANSSI a traité 123 événements de sécurité d’origine cyber dans le secteur des transports urbains (ferroviaire, routier, guidé, fluvial) entre janvier 2020 et décembre 2024, dont 32 incidents confirmés. Les trois principales manifestations de ces attaques sont les attaques par déni de service distribué (DDoS), les fuites de données et les usurpations d’identité, représentant plus de la moitié des signalements et incidents rapportés à l’ANSSI. Cependant, l’ANSSI n’a pas identifié de conséquences significatives sur le fonctionnement des entités françaises concernées suite à ces activités, les attaques DDoS ayant notamment été contenues.

Les motivations des attaquants sont principalement de trois ordres : la finalité lucrative, la finalité de déstabilisation et la finalité d’espionnage.

Menace à finalité lucrative :

  • Rançongiciels et extorsions : Ces attaques visent à chiffrer les systèmes d’information (SI) des entreprises de transport pour leur extorquer des fonds. En raison de la taille importante des entreprises et de la criticité des services (qui supportent mal les interruptions), elles constituent des cibles d’intérêt pour la cybercriminalité. Bien qu’elles puissent potentiellement toucher un grand nombre d’usagers et affecter les services internes, les cas connus en France entre 2020 et 2024 n’ont pas causé de perturbation significative du fonctionnement des entités attaquées. Les entreprises de VTC et de taxis sont aussi des cibles régulières. Le principal vecteur de compromission identifié est l’hameçonnage, mais l’exploitation de vulnérabilités ou une approche opportuniste sont également courantes.
  • Attaques contre les bases de données à des fins d’exploitation, d’exfiltration et de revente : Les entités de transport urbain gèrent d’importantes quantités de données personnelles (usagers, employés) et stratégiques (comptables, savoir-faire) qui ont une valeur à la revente. Un grand nombre d’incidents rapportés à l’ANSSI impliquent l’exfiltration de données personnelles. Ces fuites proviennent souvent de la compromission de prestataires externes, soulignant le risque lié aux interconnexions. L’incident d’Île-de-France Mobilités en octobre 2023, où 4 000 adresses email et mots de passe ont été exfiltrés, est un exemple. Les gestionnaires de flottes comme les taxis/VTC sont aussi des cibles, avec des données (trajets, finances, santé) qui peuvent être divulguées. Des expositions de données peuvent aussi survenir à cause de failles de sécurité dans des applications ou solutions logicielles utilisées par le secteur.
  • Attaques contre les usagers à des fins d’extorsion : Les usagers sont souvent ciblés par des attaques frauduleuses, notamment par l’usurpation de l’identité des entreprises de transport pour compromettre les comptes personnels des usagers (phishing, spoofing/typosquatting).
    • Menace à finalité de déstabilisation :
      • Attaques à des fins de destruction : Généralement inscrites dans des contextes de tensions internationales, ces attaques sont menées par des acteurs réputés liés à des États pour saboter les SI supportant les services de transport et immobiliser les réseaux. L’attaque BadRabbit contre le métro de Kiev en 2017, attribuée au renseignement militaire russe, est un exemple, bien que le service de métro ait continué à fonctionner.
      • Attaques revendiquées par des groupes hacktivistes : Ces groupes cherchent à faire valoir leurs positions, souvent dans des contextes géopolitiques, en ciblant les ressources en ligne des entités de transport pour nuire à leur image. Les Jeux Olympiques et Paralympiques de Paris 2024 ont servi de “caisse de résonance” pour ces revendications. Ces attaques sont majoritairement des dénis de service distribué (DDoS) ou des défigurations de sites web. Des groupes pro-russes comme NoName057(16) et Narodnaya CyberArmiya ont revendiqué des attaques contre des sites français comme ceux de la RATP et Transilien en 2023, ou l’entreprise de taxis Aramis en 2024. Ces attaques DDoS ont généralement des effets limités et sont rapidement remédiées. Un exemple notable de perturbation par hacktivistes est l’attaque de l’application Yandex Taxi à Moscou en 2022, qui a causé un embouteillage en envoyant de nombreux taxis au même endroit.
      • Détournement d’équipements de signalisation : Le piratage des feux de circulation ou autres équipements de signalisation urbaine représente une menace, potentiellement avec des conséquences graves sur la sécurité physique. Des chercheurs ont démontré la possibilité de manipuler ces systèmes, parfois en exploitant des technologies obsolètes ou des fonctionnalités prévues pour faciliter le trafic de véhicules d’urgence, ne nécessitant pas toujours des capacités sophistiquées. Cependant, l’ANSSI n’a pas connaissance d’exploitation réelle de ces capacités à des fins de nuisance par des acteurs offensifs.

        • Menace à finalité d’espionnage :
          • Des acteurs réputés liés à des États peuvent cibler les entités de transport urbain pour collecter des renseignements industriels (par exemple, sur l’automatisation des lignes de métro) ou surveiller des individus en suivant leurs déplacements via les données des entreprises. Ces attaques sont souvent discrètes et difficiles à détecter, ce qui suggère que leur proportion réelle pourrait être plus importante que celle connue de l’ANSSI. L’attaque contre la Metropolitan Transportation Authority (MTA) de New York en 2021, potentiellement liée au gouvernement chinois, est citée comme un exemple possible, bien que l’origine n’ait pas été formellement confirmée. La collecte de renseignements peut aussi servir à préparer des attaques ultérieures, y compris du sabotage, en cartographiant les réseaux industriels et bureautiques.

            • En plus de ces motivations spécifiques, la convergence croissante des systèmes de technologies de l’information (IT) et des technologies opérationnelles (OT) dans les transports urbains interconnecte des réseaux autrefois isolés, augmentant la surface d’attaque pour les acteurs disposant d’importantes ressources.

            Les réseaux IT regroupent les ressources de communication (ordinateurs, téléphones, systèmes d’information aux voyageurs), tandis que les réseaux OT pilotent et contrôlent les installations physiques (gestion de circulation des rames, signalisation, alimentation électrique, etc.).

            Bien que l’ANSSI n’ait pas connaissance d’incidents ayant affecté directement les environnements industriels OT en France, ces réseaux, caractérisés par leur longue durée de vie, leur obsolescence de sécurisation et leur besoin de continuité, restent des cibles critiques potentielles pour le sabotage. D’autres vulnérabilités spécifiques au secteur incluent la complexité des réseaux billettiques et la gestion des abonnements, la dépendance aux systèmes de géolocalisation par satellite (GNSS), le recours croissant aux prestataires externes, et l’intégration des transports urbains dans le concept des “territoires intelligents” ou “smart cities”, où différentes infrastructures sont centralisées et connectées. Les accès physiques à certains équipements informatiques (coffrets en rue, systèmes embarqués) peuvent également servir de points d’entrée pour les attaquants.

            Automatisation croissance des modes de transports

            L’automatisation des transports urbains, notamment guidés et routiers, est une tendance croissante. Cette évolution s’inscrit dans une numérisation plus large des services et un recours accru aux technologies informatiques dans un souci d’efficacité et d’amélioration de l’expérience client. Elle contribue également à la vision des “territoires intelligents” ou “smart cities”, où la gestion d’une variété d’infrastructures urbaines est centralisée.

            Concernant les chiffres spécifiques sur l’automatisation, les sources mentionnent l’exemple de la RATP :

            • La RATP exploite 450 kilomètres de lignes automatisées et semi-automatisées dans le monde.
            • Cela positionne la RATP comme le deuxième opérateur mondial de lignes automatisées.

              • L’automatisation est présentée comme ayant des avantages pour les exploitants et les usagers, notamment l’amélioration de la régularité et de la fiabilité du trafic, l’augmentation de la fréquence des rames, la réduction des intervalles entre les rames et la réalisation d’économies d’énergie.

              Bien que les sources soulignent cette automatisation croissante et les problématiques de sécurité informatique spécifiques qu’elle engendre (notamment la convergence des systèmes IT et OT), le chiffre des 450 km de la RATP est le principal indicateur quantitatif direct de l’étendue de l’automatisation fourni dans les extraits.

              Une localisation géographique peu sécurisée

              Le recours généralisé aux systèmes de navigation par satellite (GNSS), tels que GALILEO ou GPS, constitue une problématique spécifique en matière de sécurité informatique pour le secteur des transports urbains.

              Voici les risques associés au GNSS selon ces sources :

              1. Vulnérabilité intrinsèque aux attaques : Les technologies GNSS sont exposées à des risques d’attaques par brouillage (jamming) et à des attaques qui peuvent altérer la synchronisation, la datation et la géolocalisation d’un utilisateur. Elles peuvent également subir des interférences ou des interruptions. Le type d’attaque associé mentionné inclut le leurrage (spoofing), qui est une forme d’altération.
              2. Manque de mécanismes de sécurité natifs : Ces technologies ne disposent pas nativement de mécanismes de sécurité contre ces menaces.
              3. Criticité de leur utilisation : Les données fournies par les systèmes GNSS sont nécessaires à l’opération de nombreux services dans le secteur des transports, car elles fournissent des informations cruciales sur la position, la navigation et le temps (PNT). Ce paramètre est indispensable pour la gestion des flottes d’entités du secteur des transports urbains, comme les VTC, les sociétés de taxis, ou celles mettant à disposition des engins de déplacement personnel.

                4. Ces risques mettent en évidence la dépendance des systèmes de transport à une technologie vulnérable, dont la compromission (par brouillage, leurrage ou altération des données PNT) pourrait potentiellement perturber gravement les services qui en dépendent pour fonctionner correctement.

                Face à ces risques, l’une des recommandations de l’ANSSI est de limiter l’utilisation des technologies GNSS à des services non critiques. Si leur utilisation est indispensable pour des services critiques, il est recommandé d’utiliser des capteurs supplémentaires.

                Quel serait le pire scénario

                Le pire scénario en matière de menaces informatiques ciblant les transports urbains impliquerait des attaques allant au-delà des systèmes informatiques de bureau (IT) pour viser les systèmes de technologie opérationnelle (OT), c’est-à-dire les systèmes qui pilotent et contrôlent les installations physiques comme la gestion de la circulation des rames, la signalisation, l’alimentation électrique, etc..

                1. Paralysie ou Sabotage Opérationnel Majeur : Le pire scénario serait qu’une attaque informatique réussisse à immobiliser ou saboter des réseaux de transport entiers. Des attaquants réputés liés à des États pourraient chercher à “saboter ces réseaux critiques” pour déstabiliser un pays dans un contexte de tension internationale. La convergence croissante des systèmes IT et OT, qui étaient autrefois isolés, crée une surface d’attaque étendue, potentiellement exploitable par des acteurs disposant de ressources importantes pour causer des dégâts. Bien que l’ANSSI n’ait pas connaissance d’incidents ayant directement affecté les environnements industriels (OT) en France, ces réseaux sont considérés comme des “cibles critiques potentielles d’attaques informatiques à des fins de sabotage, aux conséquences potentiellement graves”. Une telle attaque pourrait affecter la continuité des services de transport et toucher un très grand nombre d’usagers quotidiens (plusieurs millions pour certains réseaux).
                2. Compromission de la Sécurité Physique : Une conséquence potentiellement dramatique serait la manipulation d’équipements de signalisation, comme les feux de circulation. Les sources mentionnent que le piratage des feux de circulation pourrait potentiellement “conduire à ce que tous les feux passent au vert au même moment, et générer de graves accidents de circulation”, bien que des chercheurs ayant démontré cette possibilité n’aient pu faire passer au vert plusieurs feux qui ne sont pas censés l’être en même temps. D’autres recherches ont montré la possibilité de manipuler les feux pour perturber gravement le trafic.

                  3. En résumé, le pire scénario dépeint par les sources est celui où des attaquants, potentiellement soutenus par des États, parviendraient à saboter ou à prendre le contrôle des systèmes opérationnels qui gèrent le mouvement physique des véhicules ou la signalisation, entraînant une paralysie généralisée du réseau, voire des accidents aux conséquences humaines potentiellement graves. Bien que les incidents observés en France par l’ANSSI entre 2020 et 2024 n’aient pas eu de conséquences significatives sur le fonctionnement, l’ANSSI alerte sur la vulnérabilité du secteur et le risque que font peser notamment les attaques visant la déstabilisation et l’espionnage (qui peut servir à préparer de futurs sabotages).

                  Sources

                  Agence européenne de cyber sécurité ENISA

                  ANSSI état de la menace sur les transports urbains

                  La cybercriminalité toujours plus forte

                  The post Les transports publics cibles des cyber criminels first appeared on XY Magazine.
                  ...more
                  View all episodesView all episodes
                  Download on the App Store
                  XY MagazineBy XY Magazine le podcast techno de la génération X et Y