Actualités

À l’attaque des pirates avec la cellule cyber de la gendarmerie maritime

Auteur : le chef d'escadron Sophie Bernard - publié le
Temps de lecture: ≃7 min.
© MININT/DICOM/F.BALSAMO
Parmi les gendarmes défilant sur les Champs, ce jeudi 14 juillet, se trouvait un enquêteur appartenant à la cellule CYBERGENDMAR. Cette poignée d’experts, exerçant au sein de la Section de recherches de la gendarmerie maritime (S.R. GMAR), lutte contre les cybercriminels qui voguent aussi bien sur la Toile que sur l’eau. Retour sur leurs missions face à cette délinquance très spécifique.

Si les « pirates » contemporains agissent davantage derrière un ordinateur qu’à bord d’un bateau, la frontière est en réalité ténue. Repérant les activités les plus prospères afin de s’y attaquer, ils n’ont pas tardé à comprendre que le secteur maritime était devenu une vraie manne financière en tant que troisième secteur économique mondial en termes de rentabilité.

Une cellule à double casquette

Face à ce phénomène, la gendarmerie maritime s’est adaptée à la menace en créant, dès 2018, une cellule nationale cyber maritime baptisée « CYBERGENDMAR ». Composée de quatre enquêteurs ayant des compétences maritimes et étant spécialistes en Nouvelles technologies (NTECH), elle est basée dans les locaux de la S.R. GMAR de Toulon. En lien à la fois avec le magistrat responsable des affaires de la mer et le magistrat spécialisé cyber, ces gendarmes réalisent des enquêtes judiciaires ayant un caractère cyber auprès de tout acteur maritime, à terre comme en mer.

La cellule s’appuie aussi sur un réseau de 42 Correspondants NTECH (C-NTECH), répartis sur l’ensemble des façades maritimes françaises, qui permettent d’intervenir en priorité en cas d’urgence. La compétence maritime des enquêteurs leur permet de bien connaître le réseau des partenaires et des victimes potentielles, mais aussi de maîtriser la législation très spécifique en la matière. Forts également de leur qualité de NTECH, ils s’informent des nouvelles cybermenaces, analysent les données des instruments de bord, cherchent les éventuelles failles des systèmes et conseillent les nombreux acteurs en la matière.

© MININT/DICOM/F.BALSAMO

Le transport maritime, première victime

Parmi ces derniers, les cybercriminels visent aujourd’hui en priorité les sociétés de transport maritime. Assurant déjà 90 % des échanges commerciaux internationaux, la crise sanitaire a intensifié leur activité avec une diminution des liaisons routières et aériennes. Attirés par les bénéfices de ces entreprises, les cybercriminels cherchent à bloquer leurs opérations commerciales ou à nuire à l’exploitation de leurs navires, avant de demander une rançon contre la remise en l’état du système. « Cela nécessite des compétences très pointues et un long travail d’étude en amont, puisqu’ils vont à chaque fois adopter un mode d’action spécifique à leur cible. Ils cherchent les failles de l’entreprise et adaptent leurs outils en conséquence, explique l’adjudant-chef Stéphane F., chef de la cellule et pionnier en la matière. Chacun a un rôle précis dans le groupe criminel : l’un va créer le virus, un autre va le diffuser, un troisième se chargera de demander la rançon en cryptomonnaie, un autre de la réinvestir pour blanchir, etc. » Certains pirates poussent même le vice jusqu’à proposer à l’entreprise un livret de conseils, à l’image d’un audit, moyennant finance bien sûr ! « Finalement, c’est une course sans fin entre les chercheurs en solutions informatiques, les développeurs d’antivirus, les pirates et nous», résume le gradé.

© MININT/DICOM/F.BALSAMO

Très souvent, la société va s’empresser de payer la rançon pour éviter de supporter un arrêt prolongé de son activité qui lui coûterait plus cher. Elle va également préférer ne pas déposer plainte afin de ne pas risquer de ternir son image auprès de ses clients et perdre leur confiance. « Nous devons les convaincre de déposer plainte, car non seulement elles subissent un dommage mais, bien souvent, elles ne sont pas les seules victimes. Cela permet ensuite de regrouper les entreprises touchées pour remonter plus facilement vers le pirate. » Heureusement, la cellule CYBERGENDMAR est de plus en plus reconnue dans le milieu maritime et portuaire, notamment à travers son partenariat avec le syndicat professionnel GYCAN, qui fédère plus de 250 industriels et organisations du secteur. Les sociétés n’hésitent pas à faire appel à elle, que ce soit à la suite du défacement de leur site Web, d'une escroquerie par faux ordres de virement, ou d'un ransomware, comme ce fut le cas pour l’armateur CMA-CGM en 2020. Mais les cybercriminels voient toujours plus grand et commencent déjà à s’attaquer aux ports, points internationaux stratégiques en matière de logistique.

Quand la menace cyberterroriste plane sur l’océan

Au-delà de l’intérêt financier qui se cache derrière ces cyberattaques de sociétés, la cellule CYBERGENDMAR se prépare également à d’autres menaces liées à ces pirates des temps modernes, à l’instar d’une cyberattaque terroriste visant le milieu maritime. « Nous travaillons de plus en plus sur des scénarios cyber en matière de contre-terrorisme. En s’introduisant, par exemple, dans le système informatique embarqué d’un navire, les pirates pourraient lui faire changer de cap, couper son identification sur les radars des autres bateaux, ouvrir ses portes en pleine mer, contaminer l’eau distribuée à bord, etc. »

La menace est d’autant plus importante que les navires comportent de plus en plus de systèmes informatiques embarqués, sans pour autant que soient prises en compte leurs vulnérabilités. Les constructeurs navals n’hésitent d’ailleurs pas à développer encore davantage la présence de l’intelligence artificielle, sur le navire et à terre, afin de limiter au maximum le nombre d’individus à bord. Rolls-Royce a ainsi conçu, il y a quatre ans, un navire de patrouille autonome. Destiné avant tout aux forces marines, il pourrait évoluer en mer sans équipage, avec des drones autour pour le sécuriser.

Aussi, la cellule participe à des exercices cyber d’ampleur, notamment avec le pôle des opérations aéronavales de la Marine nationale, afin d’associer ses compétences cyber et judiciaires au savoir-faire des forces armées. Les enquêteurs interviennent en particulier pour effectuer le gel des lieux numérique, ainsi que pour recueillir les preuves, traces et indices à bord et sur les personnels concernés.

Une double expertise au service de l’enquête

Mises à part ces nouvelles menaces, la double compétence des enquêteurs de la cellule s’avère essentielle dans les dossiers les plus courants. Elle est souvent sollicitée dans le cadre d’accidents, pour déterminer la localisation de l’épave et les circonstances exactes, mais aussi dans la lutte contre les nombreux trafics empruntant la mer (stupéfiants, armes, êtres humains, biens culturels, etc.). « Pour des trafiquants de stupéfiants, il n’y a rien de mieux qu’un bateau de plaisance pour transporter de la drogue tout en passant inaperçu dans un port. Grâce à notre double casquette (NDLR : NTECH et GMAR), nous allons pouvoir démontrer l’existence d’un trafic organisé, en analysant les instruments de bord, leurs tablettes et téléphones portables, mais également en utilisant les cartes marines pour déterminer leur trajet et les potentiels lieux de livraison », explique l’adjudant-chef.

La bonne connaissance du milieu maritime permet aux enquêteurs de requérir les partenaires adéquats pour obtenir les données recherchées : polices étrangères, ports étrangers, satellites maritimes (spécifiques aux communications en mer), etc. Si certains délinquants peuvent tenter de fausser les données des instruments de bord, les enquêteurs savent aussi repérer ce type de malversations.

© MININT/DICOM/F.BALSAMO

Face à ces nombreux enjeux, la cybersécurité en milieu maritime est devenue, en quelques années, une priorité nationale. En 2018, le Comité interministériel de la mer (CIMER) a annoncé la création d’un centre national de coordination de la cybersécurité pour le monde maritime. En attendant, l’association « France Cyber Maritime » a été mise en place, afin de réunir et d’informer tous les acteurs concernés en la matière. La CYBERGENDMAR est ainsi membre de son M-CERT (Maritime Computer Emergency Response Team), qui centralise tous les incidents cyber du secteur maritime et favorise le partage d’informations entre les acteurs. Par ailleurs, les enquêteurs de la cellule continuent de se former, en lien avec l’école navale et la chaire de cybersécurité navale de Brest, tout en échangeant sur le sujet à l’international. À ce titre, elle est notamment intervenue, en juin dernier, lors d’une table ronde organisée au Cameroun, pour présenter les enjeux de la cybersécurité des ports d’Afrique.