Les sites internet de suivi de l’activité aérienne et maritime cibles d’insidieuses cyberattaques
Alain CHARRET
Très utilisés depuis la crise ukrainienne, autant par les particuliers que les médias, voire même par certains services officiels, les sites tels que Flightradar24[1], Fleetmon[2] et Marine Traffic[3] semblent avoir fait l’objet de cyberattaques particulièrement insidieuses.
Le 8 février le yacht Graceful quittait le port de Hambourg, en Allemagne, pour gagner l’enclave russe de Kaliningrad. Un fait apparemment anodin mais qui n’a pas échappé à certains médias dont Libération[4]. Il est vrai que le propriétaire supposé n’est autre que Vladimir Poutine. Si l’opération militaire spéciale n’avait alors pas encore débuté, la concentration de troupes russes près des frontières ukrainiennes défrayait déjà la chronique et faisait planer la menace d’éventuelles sanctions à l’encontre du président russe. On peut donc imaginer que pour éviter la saisie de son navire le maître du Kremlin ait préféré anticiper les mesures à venir en le déplaçant en lieu sûr. Donc rien de bien étonnant. Ce qui suis l’est moins.
Quelques heures après le début de l’offensive russe la consultation de Fleetmon, un des principaux sites permettant de suivre la position des navires à travers le monde grâce aux données AIS[5], affichait des données pour le moins troublantes.
Comme l’indique la capture d’écran de Fleetmon réalisée le 25 février au matin, le Graceful était positionné au large de l’Ukraine, le port de destination était « ANONYMOUS » et la date d’arrivée le 1er avril 2022. De plus son statut de navigation indiquait qu’il n’était plus commandé (not under command). Des données pour le moins fantaisistes dans le contexte du moment.
Il est peu probable que ces données aient été émises par l’équipage et la mention ANONYMOUS, nom d’un célèbre groupe de hackers, laisse penser à une action cyber.
Pirater le système AIS n’est pas à la portée du premier hacker venu. Il serait bien sûr possible pour des spécialistes des radiocommunications d’usurper l’identité du yacht Graceful en employant un émetteur AIS appartenant à un autre navire. Mais dans ce cas, les données émises et donc celles reçues et diffusées par Fleetmon et Marine Traffic auraient été identiques. Ce qui n’est pas le cas puisque selon Marine Traffic la dernière émission AIS du yacht date du 9 février alors que Fleetmon indique avoir reçu le dernier signal le 26 février. De plus la mention ANONYMOUS n’apparaît pas sur Marine Traffic et si les dates et heures estimées d’arrivée sont identiques dans les deux cas, la destination est différente. L’hypothèse la plus vraisemblable semble donc être un piratage des deux sites en question, avec des résultats quelque peu différents.
Un mois plus tard les données AIS du Graceful sont toujours aussi étranges sur le site Fleetmon. Le navire, toujours positionné en mer Noire, est donné comme échoué (grounded). La destination est toujours ANONYMOUS et la date estimée d’arrivée le 1er avril 2022. Le site Marine Traffic lui indique que le Graceful est hors de portée depuis le 9 février 2022, mais qu’il fait route vers New York…
Le 11 mars c’est au tour de Flightradar24 de subir une attaque similaire.
Le site de suivi de la situation aérienne le plus populaire du moment a diffusé pendant plusieurs minutes l’activité d’un Antonov AN-225 survolant la capitale ukrainienne et décrivant un cercle parfait. Pas besoin d’être un linguiste confirmé pour comprendre la signification de l’indicatif affiché : FCKPUTIN. Est-il nécessaire de rappeler que l’AN-225 Mriya, dont il n’existait qu’un exemplaire, a été détruit lors de l’offensive russe. Il est donc tout à fait impossible de le voir voler dans le ciel de Kiev, sans parler de l’état de guerre actuel. Durant ces quelques minutes il semble que seul Flightradar24ait été ciblé, car les différents autres sites équivalents, tels que Planefinder[6], Planeradar.ru[7], Radarbox.com[8] et adsbexchange[9],ne montraient eux aucun aéronef survolant la capitale ukrainienne.
Ces différentes opérations sont sans aucune véritables conséquences. Cependant, en cas d’incidents sérieux, il conviendra donc de prendre avec la plus grande prudence les données fournies par ces sites jusque-là reconnus pour être très fiables et largement utilisés par les médias et autres spécialistes du renseignement ouvert (OSINT).
[1] https://www.flightradar24.com
[3] https://www.marinetraffic.com
[4] https://www.liberation.fr/international/europe/allemagne-le-yacht-de-poutine-quitte-a-la-hate-le-port-dhambourg-20220208_KAHGB6R5JBELHI5I4O3JPR63ZA/
[5] Automatic Identification System (Système d’identification automatique).