Transports connectés, risques multipliés : l'Anssi détaille la menace
L'Anssi, via le Cert-FR, vient de publier un rapport sur l'état de la menace informatique visant les réseaux de transports urbains. S'appuyant sur des exemples français et internationaux, le rapport souligne l'accroissement des vulnérabilités des réseaux de transport du fait de l'automatisation croissante des moyens de transport, du développement de la billettique et de la multiplication des objets connectés.
© Mifrederic CC BY-SA 4.0
Entre janvier 2020 et décembre 2024, l'Anssi a traité 123 événements de cybersécurité affectant des entités françaises du secteur des transports urbains (ferroviaire, routier, guidé, fluvial), dont 91 signalements et 32 incidents confirmés. Ces événements portent principalement sur des attaques par déni de service distribué (DDoS) – notamment pendant les JO –, des fuites de données et des usurpations d'identité. Les bases de données des exploitants notamment constituent des cibles de choix. En octobre 2023, Île-de-France Mobilités a par exemple subi un piratage ayant entraîné l'exfiltration de 4.000 adresses email et mots de passe d'utilisateurs. Une attaque similaire a affecté l'autorité londonienne en septembre 2024, l'obligeant à suspendre l'accès au site de l'Oyster card, la carte de transport de la métropole britannique.
Des attaques avérées aux lourdes conséquences
Les cyberattaques sur les réseaux de transport peuvent avoir de très lourdes conséquences sur le fonctionnement même du service. En juin 2023, la ville d'Olsztyn (Pologne) a par exemple subi une cyberattaque qui a simultanément rendu indisponible la vente de billets pour les transports en commun, perturbé l'affichage en temps réel des horaires et ralenti le trafic routier en faisant passer les feux de signalisation en mode automatique. Autre exemple, en octobre 202, une attaque par rançongiciel contre l'autorité des transports de Toronto a affecté à la fois la messagerie interne et les systèmes de conduite des trains. Les informations sur l'arrivée des véhicules, la visualisation en temps réel de leurs déplacements et le système vidéo de communication des conducteurs ont été perturbés.
Commentaire de l'Anssi : "La criticité des services du secteur, qui supportent mal les interruptions d'activité, renforce la pression sur les victimes d'attaques."
Objets connectés : de nouvelles portes d'entrée
La multiplication des objets connectés (IoT) dans les transports urbains crée ensuite de nouvelles vulnérabilités. Caméras de vidéosurveillance, appareils de billettique, panneaux d'information aux voyageurs – tous ces équipements représentent des points d'entrée potentiels pour les attaquants. Des chercheurs néerlandais ont ainsi démontré plusieurs moyens de prendre le contrôle de feux de circulation à des fins malveillantes. Une démonstration a notamment été faite aux Pays-Bas de manipulation du signal radio qui pilote les feux de circulation depuis vingt ans.
L'automatisation des transports, déployée pour améliorer la régularité et la fiabilité du trafic par un acteur comme la RATP (450 km de lignes automatisées) est également une source de vulnérabilités. Les systèmes et automatismes utilisés se révèlent particulièrement exposés physiquement, leur connexion à internet accroissant encore leur vulnérabilité. Les véhicules autonomes, opérant en milieu de circulation ouvert, sont pour leur part fortement dépendants des technologies de géolocalisation par satellite. De ce fait, ces véhicules sont vulnérables aux attaques de brouillage et de leurrage pouvant perturber leur positionnement et leur navigation. L'Anssi recommande clairement d'en limiter l'usage.
Le défi de l'obsolescence
Face à ces menaces, l'Anssi a formulé 26 recommandations regroupées en 9 catégories au premier rang desquels la réalisation d'une analyse de risques et la sensibilisation des collaborateurs. Elle souligne aussi la nécessité de "cloisonner et filtrer les différents systèmes d'information", "protéger les données par mécanisme cryptographique" et "prévoir le fonctionnement en mode dégradé des systèmes d'information industriels". L'agence insiste aussi sur la nécessité d'une politique de "sauvegarde régulière" hors ligne pour les données les plus critiques.
Le grand défi est cependant celui l'obsolescence des systèmes, souligne l'étude. Car les équipements industriels du secteur des transports urbains ont une "grande durée de vie", pouvant atteindre "plusieurs dizaines d'années", ce qui entraîne des "problématiques associées à l'obsolescence de la sécurisation des serveurs et postes de travail qui leur sont associés". Cette longévité, avantageuse sur le plan économique, devient un handicap sécuritaire quand les mises à jour ne sont plus disponibles, les équipements n'étant plus sécurisés contre les nouvelles menaces. A minima, l'agence recommande de remplacer les systèmes non maintenus et d'intégrer la sécurité, dont le traitement des incidents, aux cahiers des charges des exploitants.
