Immersion

À l’attaque des pirates avec la cellule cyber de la gendarmerie maritime

Auteur : la capitaine Sophie Bernard - publié le
Temps de lecture: ≃6 min.
© MININT/DICOM/F.BALSAMO

Si les enquêteurs de la Section de recherches de la gendarmerie maritime (S.R. GMAR) sont avant tout sollicités pour des enquêtes complexes ayant trait à la mer (trafics illicites, accidents graves, homicides, etc.), ils doivent aussi s’adapter aux nouvelles formes de délinquance. Les cybercriminels voguant aussi bien sur la toile que sur l’eau, la gendarmerie maritime a développé une cellule nationale cyber maritime constituée d’enquêteurs spécialisés.

Si les « pirates » contemporains agissent davantage derrière un ordinateur qu’à bord d’un bateau, la frontière est en réalité ténue. Repérant les activités les plus prospères afin de s’y attaquer, ils n’ont pas tardé à comprendre que le secteur maritime était devenu une vraie manne financière en tant que troisième secteur économique mondial en termes de rentabilité.

Une cellule à double casquette

Face à ce phénomène, la gendarmerie maritime s’est adaptée à la menace en créant, dès 2018, une cellule nationale cyber maritime baptisée « CYBERGENDMAR ». Composée de quatre enquêteurs disposant de compétences maritimes, dont trois spécialistes en Nouvelles technologies (N’TECH), elle est basée dans les locaux de la S.R. GMAR de Toulon. En lien à la fois avec le magistrat responsable des affaires de la mer et le magistrat spécialisé cyber, ces gendarmes réalisent des enquêtes judiciaires ayant un caractère cyber auprès de tout acteur maritime, à terre comme en mer.

© MININT/DICOM/F.BALSAMO

La cellule s’appuie aussi sur un réseau de 42 Correspondants N’TECH (C-NTECH), répartis sur l’ensemble des façades maritimes françaises, qui permettent d’intervenir en priorité en cas d’urgence. La compétence maritime des enquêteurs leur permet de bien connaître le réseau des partenaires et des victimes potentielles, mais aussi de maîtriser la législation très spécifique en la matière. Ainsi, forts en outre de leur qualité de N’TECH, ils s’informent des nouvelles cybermenaces, analysent les données des instruments de bord, cherchent les éventuelles failles des systèmes et conseillent les nombreux acteurs en la matière.

Le transport maritime, première victime

Parmi ces derniers, les cybercriminels visent aujourd’hui en priorité les sociétés de transport maritime. Assurant déjà 90 % des échanges commerciaux internationaux, la crise sanitaire a intensifié leur activité avec une diminution des liaisons routières et aériennes. Attirés par les bénéfices de ces entreprises, les cybercriminels cherchent à bloquer leurs opérations commerciales ou à nuire à l’exploitation de leurs navires, avant de demander une rançon contre la remise en l’état du système. « Cela nécessite des compétences très pointues et un long travail d’étude en amont, puisqu’ils vont à chaque fois adopter un mode d’action spécifique à leur cible. Ils cherchent les failles de l’entreprise et adaptent leurs outils en conséquence, explique l’adjudant-chef Stéphane F., chef de la cellule et pionnier en la matière. Chacun a un rôle précis dans le groupe criminel : l’un va créer le virus, un autre va le diffuser, un troisième se chargera de demander la rançon en cryptomonnaie, un autre de la réinvestir pour blanchir, etc. » Certains pirates poussent même le vice jusqu’à proposer à l’entreprise un livret de conseils, à l’image d’un audit, moyennant finance bien sûr ! « Finalement, c’est une course sans fin entre les chercheurs en solutions informatiques, les développeurs d’antivirus, les pirates et nous ! », résume le gradé.

Très souvent, la société va s’empresser de payer la rançon pour éviter de supporter un arrêt prolongé de son activité qui lui coûterait plus cher. Elle va également préférer ne pas déposer plainte afin de ne pas risquer de ternir son image auprès de ses clients et perdre leur confiance. « Nous devons les convaincre de déposer plainte, car non seulement elles subissent un dommage mais, bien souvent, elles ne sont pas les seules victimes. Cela permet ensuite de regrouper les entreprises touchées pour remonter plus facilement vers le pirate. » Heureusement, la cellule CYBERGENDMAR est de plus en plus reconnue dans le milieu maritime et portuaire, et les sociétés n’hésitent pas à faire appel à elle. C’est le cas notamment de l’armateur CMA-CGM, attaqué l’année dernière par le ransomware « Ragnar locker ». Mais les cybercriminels voient toujours plus grand et commencent déjà à s’attaquer aux ports, points internationaux stratégiques en matière de logistique.

Quand la menace cyberterroriste plane sur l’océan

Au-delà de l’intérêt financier qui se cache derrière ces cyberattaques de sociétés, la cellule CYBERGENDMAR se prépare également à d’autres menaces liées à ces pirates des temps modernes, à l’instar d’une cyberattaque terroriste visant le milieu maritime. « Nous travaillons de plus en plus sur des scénarios cyber en matière de contre-terrorisme. En s’introduisant, par exemple, dans le système informatique embarqué d’un navire, les pirates pourraient lui faire changer de cap, couper son identification sur les radars des autres bateaux, ouvrir ses portes en pleine mer, contaminer l’eau distribuée à bord, etc. »

© MININT/DICOM/F.BALSAMO

La menace est d’autant plus importante que les navires comportent de plus en plus de systèmes informatiques embarqués, sans pour autant que soient prises en compte leurs vulnérabilités. Les constructeurs navals n’hésitent d’ailleurs pas à développer encore davantage la présence de l’intelligence artificielle, sur le navire et à terre, afin de limiter au maximum le nombre d’individus à bord. Rolls-Royce a ainsi conçu, il y a quatre ans, un navire de patrouille autonome. Destiné avant tout aux forces marines, il pourrait évoluer en mer sans équipage, avec des drones autour pour le sécuriser.

Une double expertise au service de l’enquête

Mis à part ces nouvelles menaces, la double compétence des enquêteurs de la cellule s’avère essentielle dans les dossiers les plus courants. Elle est souvent sollicitée dans le cadre d’accidents, pour déterminer la localisation de l’épave et les circonstances exactes, mais aussi dans la lutte contre les nombreux trafics empruntant la mer (stupéfiants, armes, êtres humains, etc.). « Pour des trafiquants de stupéfiants, il n’y a rien de mieux qu’un bateau de plaisance pour transporter de la drogue tout en passant inaperçu dans un port. Grâce à notre double casquette (NDLR : N’TECH et GMAR), nous allons pouvoir démontrer l’existence d’un trafic organisé, en analysant les instruments de bord, leurs tablettes et téléphones portables, mais également en utilisant les cartes marines pour déterminer leur trajet et les potentiels lieux de livraison », explique l’adjudant-chef.

© MININT/DICOM/F.BALSAMO

La bonne connaissance du milieu maritime permet aux enquêteurs de requérir les partenaires adéquats pour obtenir les données recherchées : polices étrangères, ports étrangers, satellites maritimes (spécifiques aux communications en mer), etc. Si certains délinquants peuvent tenter de fausser les données des instruments de bord, les enquêteurs savent aussi repérer ce type de malversations.

Face à ces nombreux enjeux, la cybersécurité en milieu maritime est devenue, en quelques années, une priorité nationale. En 2018, le Comité interministériel de la mer (CIMER) a annoncé la création, d’ici 2022, d’un centre national de coordination de la cybersécurité pour le monde maritime. En attendant, l’association « France Cyber Maritime » a été mise en place, afin de réunir et d’informer tous les acteurs concernés en la matière. Un CERT (Computer Emergency Response Team) devrait également voir le jour bientôt, afin de centraliser tous les incidents cyber du secteur maritime et favoriser le partage d’informations entre les acteurs. Associées à ce projet, la S.R. GMAR et, plus spécifiquement, sa cellule cyber s’inscrivent pleinement dans cette nouvelle dynamique.