Cybersécurité: l’agriculture face à de nouvelles menaces

Aux États-Unis, une récente enquête de l’administration américaine a montré que les nouvelles technologies exposaient le secteur agricole à de nouvelles menaces, contre lesquelles il était souvent mal protégé, et dont il prend encore mal la mesure.

La manipulation des capteurs et des données... Les années à venir nous diront si le rique est bien réel ou s’il s’agit seulement du scénario d’un film de série B. - M. de N.

Par : Le Sillon Belge

Publié le : 27/03/2019 à 18:01

Temps de lecture : 6 min

Dans leur rapport, trois services fédéraux, l’USDA (agriculture), le FBI et le DHS (renseignement) ainsi que des représentants du secteur agricole privé, présentent les principales vulnérabilités de l’agriculture, et des scénarios d’attaques, dont certains basés sur des événements réels. En France, il faut ajouter à cette liste la menace de l’extraterritorialité de la réglementation américaine sur le numérique, face à laquelle des acteurs français comme Thales ou Dassault se positionnent aujourd’hui pour proposer des services dits souverains.

Réalité ou scénario farfelu ?

Au chapitre de la gestion des risques, devra-t-on bientôt ajouter aux politiques agricoles une section consacrée à la cybersécurité ? L’hypothèse n’est pas complètement farfelue, à en croire la récente enquête réalisée aux États-Unis par trois services fédéraux évoqués ci-dessus, ainsi que des représentants du secteur agricole privé, publiée fin 2018.

La première conclusion des auteurs n’est en soi pas surprenante : « L’adoption des technologies avancées d’agriculture de précision et des outils de gestion des informations agricoles introduit de nouvelles vulnérabilités dans le secteur ». Mais ils ajoutent que « ces menaces ne sont souvent pas complètement comprises ou pas traitées assez sérieusement dans le secteur ». Il y aurait donc matière à s’inquiéter.

L’autre apport de cette enquête, c’est qu’elle détaille les principales vulnérabilités de l’agriculture, les points d’entrée d’éventuelles attaques de type cyber- (outils d’aide à la décision, smartphones, objets connectés…). Et il explore plusieurs scénarios critiques, dont certains – il n’est pas précisé lesquels – sont basés sur des évènements qui ont déjà eu lieu dans le secteur agricole. Toutefois, le plus souvent, ces scénarios sont établis par analogie avec des événements célèbres ayant eu lieu dans d’autres secteurs : l’attaque de l’entreprise Sony Pictures en 2014 – et la divulgation massive d’informations personnelles de ses employés (dont leurs salaires) qui s’en est suivie – ou bien la prise de contrôle à distance d’un Jeep Cherokee en 2015.

La fausse alerte sanitaire

Du point de vue américain, la menace la plus importante est celle d’une « falsification intentionnelle de données qui pourrait perturber le secteur animal ou végétal », autrement dit : une fausse alerte sanitaire. Les auteurs imaginent qu’un acteur mal intentionné pourrait dérober des données de type sanitaire (tels des tests d’animaux à la fièvre aphteuse ou à la grippe aviaire, des tests de présence d’OGM dans une cargaison de blé), les falsifier (résultat, date, lieu…) et les rendre publiques. Une telle annonce détournerait le consommateur du pays concerné ou l’importateur du produit en question pendant une longue période.

« Cela pourrait prendre des semaines pour confirmer en laboratoire ou en champ que ces informations étaient fausses », estiment les auteurs.

D’autres potentiels usages malveillants ont été identifiés par les auteurs. Ainsi, une tentative de déstabilisation d’entreprise par « publications intentionnelles d’informations confidentielles d’un fournisseur ». Le rapport reprend l’exemple de l’attaque de Sony Pictures, et imagine que des données de prix d’achat des agriculteurs puissent être publiées, et causer une perte de confiance des agriculteurs.

« Une attaque de type Sony pourrait créer une perte financière et d’image significative à une coopérative et potentiellement à ses centaines/milliers de membres, car la coopérative agricole est construite sur un modèle explicite d’égalité de ses membres », constatent les auteurs.

Ces données pourraient également être vendues pour être utilisées contre les agriculteurs sur le marché des matières premières. Au cours de leur enquête, les auteurs du rapport ont d’ailleurs rencontré une entreprise affirmant « avoir été approchée pour l’achat de données qui auraient été revendues sous la table à des courtiers et des hedge funds ».

La manipulation de capteurs

Autre menace importante, celle d’une manipulation des données envoyées aux capteurs ; les auteurs s’inquiètent notamment pour un certain nombre d’opérations critiques dont le déclenchement devient de plus en plus automatisé sur la base de données de capteurs : l’irrigation des cultures, la régulation de la température dans les élevages hors sol, la détection automatique des chaleurs en élevage bovin, ou la traite robotisée. Ces systèmes automatisés sont-ils bien sécurisés ? Nourris par de mauvaises informations, ils pourraient mettre en péril une production.

En France, la société de cybersécurité Kereval, qui travaille déjà pour des fabricants de machines agricoles depuis quelques années, note pour l’instant un vrai déséquilibre : « Dans le secteur agricole, le personnel est très majoritairement spécialisé en mécanique, un peu en électronique, mais très peu en informatique », constate Yannick Guyomarch, ingénieur projet chez Kereval. À l’inverse, du côté des hackers, « le niveau peut être très élevé ; ils ont des connaissances en électronique et en informatique, ce qui leur permettra d’accéder directement aux composants électroniques qui s’échangent entre eux des informations, parfois de manière non-sécurisée ».

« Les constructeurs agricoles doivent prendre conscience du problème, estime Yannick Guyomarch. Par exemple, c’est bien beau d’avoir une application sans fil sur son smartphone, mais il devient difficile de garantir que personne ne peut s’insérer entre votre téléphone et la carte réceptrice. En travaillant avec un machiniste, nous leur avons montré que nous étions capables d’intercepter à la volée les données échangées entre un ipad et un module Isobus d’outil. Et les préconisations que nous leur avons faites leur ont permis de corriger le problème »

L’attaque « Sony » contre une coopérative

Un objet connecté inquiète particulièrement les Américains : les drones, qui sont en grande majorité fabriqués en Chine. Ceux-ci pourraient être soudainement mis hors-service, ou utilisés à des fins de renseignement, peut-on lire dans le rapport. « Un gouvernement étranger pouvant agréger d’importantes informations agricoles est une menace potentielle », écrivent les auteurs, qui imagent que ces informations pourraient par exemple être « utiles durant des négociations commerciales ».

Autre point d’entrée, les outils d’aide à la décision, dont le nombre a explosé ces dernières années. Les Américains estiment que le « vol intentionnel des données collectées » par l’intermédiaire de ces logiciels est la menace de cybersécurité qui a le plus de chances de se réaliser dans le secteur agricole.

Enfin, l’une des autres grandes inquiétudes des Américains porte sur l’accessibilité des données, qui dépendent du bon fonctionnement de nombreux réseaux. Les auteurs s’inquiètent que des données GPS, ou de positionnement RTK, soient rendues indisponibles (par malveillance, ou événement climatique) lors d’une période critique (moisson, semis, épandage de phytos…), dont la durée n’excède parfois pas quelques heures. « En identifiant une vulnérabilité sur une partie d’un équipement ou un patch vulnérable », un acteur malveillant pourrait bloquer des centaines de machines, rapporte encore cette étude.