Selon ComputerWorld (adapté par Jean Elyan), un ferry français a été immobilisé à Sète après la découverte d’un boîtier Raspberry Pi relié au réseau local et couplé à un modem cellulaire, permettant un accès à distance; l’incident a été contenu grâce à la séparation des réseaux administratifs et opérationnels et à l’absence d’accès distant aux commandes critiques.

Des analystes soulignent le risque d’« implants » physiques créant un nouveau périmètre interne via la 4G/5G, contournant pare-feux et VPN. Ils alertent que nombre d’entreprises laissent des ports Ethernet actifs accessibles (halls, salles de réunion, couloirs) et recommandent de les désactiver par défaut, de n’autoriser l’activation qu’avec authentification 802.1X et de recourir à des outils de NAC et de fingerprinting physique (ex. Sepio) pour contrer l’usurpation d’adresse MAC se faisant passer pour des téléphones VoIP ou imprimantes.

Les experts prônent aussi des verrous de ports, des scellés inviolables, et des contrôles physiques réguliers à la recherche d’implants (fils supplémentaires, hubs USB, boîtiers non inventoriés). Ils insistent sur des corrélations d’alertes SOC (ex. ouverture d’une porte vers une zone restreinte simultanée à l’apparition d’un nouvel équipement sur un commutateur local) et rappellent la vulnérabilité des équipements IoT/OT trop souvent négligés, malgré l’effort requis pour une segmentation fine.

Côté détection et réponse, il est noté que des mini-ordinateurs peu coûteux comme le Raspberry Pi peuvent se fondre dans le bruit IoT, compliquant l’IDS/IPS, voire se connecter à d’anciens bus série OT. En cas de découverte d’un implant, les recommandations évoquent la prudence: éviter un débranchement hâtif pouvant déclencher un effacement (batterie/supercondensateur) ou des effets indésirables, et privilégier l’isolement et la capture de trafic avant retrait.

Enfin, l’article met en avant l’intérêt de « cartographier le rayon d’action » et de capter le trafic pour identifier l’infrastructure de commande et contrôle (IP/DNS/ASN). Même avec modem cellulaire, l’implant laisse une empreinte réseau; la surveillance doit donc s’étendre au-delà du LAN vers l’infrastructure externe, avec déclencheurs tels que connexions à des blocs réseau malveillants ou apparition d’« actifs fantômes » sur le périmètre. Article de presse spécialisé visant à tirer des leçons de l’incident et à illustrer les défis de la sécurité physique et OT 🔎.

🔗 Source originale : https://www.lemondeinformatique.fr/actualites/lire-un-ferry-attaque-avec-un%A0raspberry%A0pi%A0-98856.html