Ciblés

0

Cela peut commencer en regardant de la porno sur une tablette de la compagnie, en cliquant sur le lien dans un courriel de quelqu’un qui semble être un client de confiance, ou même en utilisant un dispositif de consignation électronique (DCE) mal conçu. Mais peu importe comment une brèche dans les systèmes de flotte est créée, les menaces de cyber-sécurité dans le camionnage sont bien réelles.

«Nous voyons encore beaucoup de pirates informatiques motivés financièrement qui ciblent l’industrie du transport», a déclaré Regis Billings, agent spécial du FBI, lors d’une présentation tenue durant la quatrième conférence annuelle des utilisateurs d’Omnitracs à Nashville. «Ils détournent des fonds dans d’autres comptes et les envoient à l’étranger.» Un transporteur du Tennessee a perdu 340 000 $ US après que des voleurs aient atteint l’ordinateur portable d’un employé.

«C’est un écosystème. Il y a beaucoup de va-et-vient», a souligné Sharon Reynolds, chef de l’information et de la sécurité pour Omnitracs.

Les menaces

Pratiquement n’importe quel site qui semble offrir quelque chose de gratuit pourrait créer un moyen non désiré d’entrer dans les ordinateurs de l’entreprise. «Si vous vous abonnez ou utilisez des services ‘gratuits’, ils obtiennent quelque chose de vous», d’expliquer Mme Reynolds. D’habitude, ce ‘quelque chose’ est sous la forme d’informations.

Il suffit de cliquer sur un lien.

«Les malfaiteurs s’en prennent aux parties spongieuses de l’organisme, aux éléments humains de l’organisme, et où sont les éléments les plus humains dans cette industrie?», demande M. Billings, faisant référence aux chauffeurs.

Une fois qu’une ouverture est créée, les criminels se déplacent «latéralement», passant d’un réseau à l’autre vers des cibles à plus haute valeur. Ensuite, ils s’assoient et attendent le moment venu, souvent après avoir surveillé les transactions financières.

Des ordinateurs de flotte ont déjà été bloqués par ce qu’on appelle des logiciels rançonneurs, et libérés seulement après le paiement.

Des dispositifs de consignation électroniques mal conçus pourraient créer leurs propres ouvertures. «Nous sommes préoccupés par les nouveaux venus sur le marché», de poursuivre Mme Reynolds. «Nous ne savons pas d’où ils sont venus.»

«Ils sont très, très mauvais. Je ne pense pas que j’exagère», a déclaré Ben Gardiner, ingénieur de sécurité principal avec l’équipe de piratage éthique chez Irdeto. «Le risque pour les chauffeurs qui utilisent de mauvais DCE est bien réel.»

Des étudiants ayant seulement deux jours de formation ont pu pénétrer dans certains dispositifs lors de récents tests, a-t-il dit.

Protégez-vous

Pour protéger votre entreprise, vous devez comprendre les menaces et affecter une personne à la résolution des problèmes. Il s’agit ensuite de former des équipes qui constituent essentiellement un «pare-feu humain» sous la forme de mots de passe plus difficiles et de pratiques plus strictes – comme taper les URL dans une barre d’adresse plutôt que de simplement cliquer sur des liens.

Assigner du personnel au problème peut certainement faire une différence. «Vous n’avez pas nécessairement besoin d’être un informaticien ou «cyber-intelligent», mais vous devez avoir les bonnes personnes autour de vous», de poursuivre M. Billings. «Si vous n’avez pas cette personne, trouvez-la en dehors de l’entreprise et commencez à construire les relations.»

Les partenaires commerciaux de toute sorte devraient également faire preuve d’un engagement similaire envers la cyber-sécurité. «Vont-ils protéger vos données de la même manière que vous protégerez les leurs?», demande-t-il. «Dans un cas, une entreprise a perdu 850 000 $ après avoir adopté une nouvelle technologie sans se rendre compte des faiblesses du système d’un partenaire.

Même un simple fichier PDF ou un document Word provenant d’une source inconnue peut semer les graines pour exécuter un code, a déclaré Matthew Carpenter, chercheur principal en sécurité chez Grimm. Assurez-vous que les logiciels comme le lecteur de PDF sont à jour pour vous aider à vous protéger contre cela.

L’un des meilleurs moyens de se protéger contre un détournement de fonds est de décrocher le téléphone si un courriel semble déplacé, a ajouté M. Billings. «Cela ne coûte absolument rien à votre entreprise, même si c’est une urgence et que c’est un vendredi après-midi.» Si le client n’est pas dans son bureau, il y a de fortes chances qu’il n’y ait pas d’urgence.

Les mots de passe peuvent devenir plus difficiles à déchiffrer en adoptant l’authentification multi-facteurs, qui fait appel à des systèmes offrant seulement un accès après avoir présenté deux éléments de preuve ou plus. En revanche, certaines personnes utilisent les mêmes mots de passe qu’elles utilisaient avec leurs comptes Yahoo –  qui ont été compromis il y a plusieurs années, de dire M. Billings. Tout ce qu’un cybercriminel doit alors faire, c’est de trouver le compte de courriel de la personne pour son emploi actuel.

Le site Web haveibeenpwned.com vous montrera si des mots de passe existants ont été déchiffrés.

Même les pratiques sur un ordinateur personnel peuvent être dangereuses, surtout si les ordinateurs ou les réseaux sont utilisés pour accéder à du matériel de travail.

«À la maison, quand vous vérifiez votre courriel personnel ou autre, vous devez prendre certaines précautions dont vous entendez parler au travail ou par vos informaticiens», poursuit Mme Reynolds.

Surtout, le travail ne finit jamais.

«La sécurité n’est jamais un problème résolu. La sécurité est un processus», d’ajouter M. Carpenter, faisant référence aux changements continus apportés par les flottes, qui peuvent aller de nouveaux logiciels à de nouveaux camions.

Menaces futures

Les menaces ne finissent jamais. Jusqu’à présent, les «États-nations» ont essentiellement concentré leurs efforts en dehors de l’industrie du transport, a déclaré M. Billings. Cela pourrait changer.

«C’est une ressource essentielle pour que nous puissions transporter des marchandises d’un bout à l’autre du pays», a-t-il expliqué. «C’est une mine d’or de propriété intellectuelle que nous ne réalisons pas.»

Les cyberattaques pourraient même ajouter une nouvelle couche aux détournements traditionnels. M. Billings fait référence à un avenir pas si lointain où les voleurs pourraient pirater les modules de contrôle électronique du véhicule, déclenchant quelque chose qui obligerait le chauffeur à s’immobiliser en bordure de route, ou même l’arrêt complet du camion.

Le bus de données CAN J1939 traditionnel crée des vulnérabilités, a reconnu M. Carpenter. «Je peux contrôler le moteur. Je peux contrôler les freins. Je peux utiliser ces logiciels malveillants sur tous les véhicules.» Les nouveaux systèmes de communications dédiées à courte portée qui relient les camions aux infrastructures peuvent créer leurs propres voies, comme une balise radio invitant des systèmes à lui parler. Un camion compromis pourrait essentiellement mener dans l’arrière-boutique d’un fournisseur, pour ensuite se connecter à d’autres camions en utilisant le même réseau.

Les menaces ne sont pas ignorées. Des groupes de travail collaborent avec la Society of Automotive Engineers pour continuer d’améliorer les normes et les tests, par exemple. «Il y a beaucoup de progrès», de conclure M. Gardiner.

«Ne devenez pas la meilleure cible qui soit», conseille M. Billings.

Partager.

À propos de l'auteur

Steve Bouchard

Steve Bouchard écrit sur le camionnage depuis plus de 20 ans, ce qui en fait de loin le journaliste le plus expérimenté dans le domaine au Québec. Steve est le rédacteur en chef de l’influent magazine Transport Routier, publié par Newcom Média Québec, depuis sa création en 2000. Il est aussi le rédacteur en chef du site web transportroutier.ca, il agit comme rédacteur conseil du magazine L’automobile et il contribue aux magazines Today’s Trucking et Truck News. Steve rédige aussi le bulletin électronique de Transport Routier, Les nouveautés du routier, et il participe à l’élaboration des stratégies de communication pour le salon ExpoCam de Montréal, propriété de Newcom. Steve est détenteur d’un permis de conduire de classe 1 depuis 2004 et il est le seul journaliste de camionnage au Québec à avoir gagné des prix Kenneth R. Wilson de la Presse spécialisée du Canada, l’or et l’argent deux fois chacun. Steve a occupé la présidence et la présidence du Conseil du Club des professionnels du transport du Québec et il représente les médias au comité des fournisseurs de l’Association du camionnage du Québec. En 2011, il a reçu le prestigieux prix «Amélioration de l’image de l’industrie» remis par l’Association du camionnage du Québec.