Olsztyn, Pologne : quand une cyberattaque fait dérailler la Smart City

Située dans le quart nord-est de la Pologne, Olsztyn est ce que l’on peut qualifier de Smart City. Tout récemment, son maire, Piotr Grzymowicz, s’exprimait d’ailleurs au Smart City Forum de Wrocław.

En 2020, la ville lançait un projet de blockchain pour ses services d’urgence, à base de smart contract Ethereum. Mais avant cela, elle faisait appel à Sprint S.A. pour déployer un système intelligent de gestion des transports (ITS, Intelligent Transportation System). Cela remonte à déjà 7 ans.

Le concept, décrit par Sprint sur son site Web, est somme toute classique pour ce genre de projet : « le projet ITS d’Olsztyn avait pour objectif d’améliorer les normes techniques et fonctionnelles du réseau de transport de la ville afin de garantir des conditions d’exploitation adéquates pour la ligne de tramway et les lignes de bus prévues, ainsi que d’améliorer autant que possible les conditions de circulation individuelles parallèlement à la mise en œuvre de mesures accordant la priorité aux transports publics ».

La plateforme de Sprint a été déployée par plusieurs autres villes : Bielsko-Biała, Bydgoszcz, Chorzów, Łódź, Opole, Tarnów, Wałbrzych, ou encore Varsovie. 

À Olsztyn, l’éventail fonctionnel est vaste : centre de gestion du trafic, surveillance des intersections – avec détection des passages au feu rouge et des excès de vitesse –, hotspots WiFi dans les rames de tramway, système d’information météo, etc. 

Sur le site de la régie des transports de la ville, la ZDZiT, actuellement inaccessible, une carte montre l’étendue du périmètre concerné (en mauve) : le centre-ville et au-delà, 96 intersections, avec notamment… les feux de signalisation. Un système bien huilé qui « adapte instantanément les paramètres de contrôle à l’évolution dynamique des conditions de circulation, en tenant compte des paramètres de coordination et de hiérarchisation des véhicules de transport public ». Jusqu’à l’incident de production. Un incident qui s’est matérialisé ce samedi 24 juin au matin.

« Embouteillages sur les principaux axes de la ville, ou problème pour l’achat de tickets pour les transports publics », indique un quotidien local. Avant de donner l’explication : une cyberattaque est survenue. Ce samedi, au matin, « un employé de la ZDZiT est venu déconnecter physiquement les serveurs du réseau ». 

La signalisation fonctionne encore, mais en mode dégradé, par défaut, dans adaptation aux conditions de circulation. Par ailleurs, « les distributeurs de billets aux arrêts et ceux installés dans les bus et les tramways ne fonctionnent pas ». En revanche, l’utilisation des applications mobiles ou l’achat de ticket papier restent possibles. Mais les panneaux d’information électroniques n’ont plus rien de dynamique et ses contentent d’afficher les horaires prévus, sans tenir compte de la position réelle des véhicules. Et aucun service client n’est pour l’instant assuré, selon la ZDZiT.

Les systèmes informatiques liés aux transports en commun ne sont pas à l’abri des cyberattaques. Outre-Rhin, l’Üstra, à Hanovre, en a fait l’amère expérience au mois d’avril, mais rien pour 2023, il faut aussi compter avec la régie des transports de l’Uttar Pradesh, en Inde, ou encore celle de Chicago. 

Fin mars, l’agence européenne de la cybersécurité, l’Enisa, a publié son premier rapport sur les menaces cyber pesant sur le secteur des transports. Dans celui-ci, on peut notamment lire que « la majorité des attaques contre le secteur des transports visent les systèmes de technologie de l’information (IT). Ces attaques peuvent entraîner des perturbations opérationnelles, mais les systèmes de technologie opérationnelle (OT) sont rarement visés ». 

Certes, l’Enisa soulignait que « Les groupes de ransomware cibleront et perturberont probablement les opérations OT dans un avenir prévisible ». Mais le cas d’Olsztyn souligne à quel point la frontière se fait ténue entre IT et OT avec les projets de Smart City, accentuant la perméabilité du second domaine aux menaces concernant habituellement le premier.