Une attaque de ransomware secoue les États-Unis

Il y a près de trois ans, l'oléoduc Colonial a été attaqué et mis hors service pendant six jours, provoquant une pénurie de gaz. Washington D.C. et 17 autres États ont alors déclaré l'état d'urgence.

Panorama du pipeline colonial sous attaque

En mai 2021, l'oléoduc Colonial Pipeline a été victime d'une attaque de rançongiciel, affectant plusieurs systèmes numériques et entraînant son arrêt pendant plusieurs jours. L'incident a touché les consommateurs et les compagnies aériennes de la côte Est des États-Unis. Considéré comme une menace pour la sécurité nationale, car l'oléoduc transporte le pétrole des raffineries vers les marchés industriels, il a incité le président américain Joe Biden à déclarer l'état d'urgence.

L'oléoduc Colonial est l'un des plus grands et des plus importants des États-Unis. Mis en service en 1962, il transporte le pétrole du golfe du Mexique vers les États de la côte Est. Ce réseau de plus de 8 850 kilomètres (5 500 miles) s'étend du Texas au New Jersey et assure près de la moitié de l'approvisionnement en carburant de la côte Est. Il fournit du pétrole raffiné destiné à la production d'essence, de kérosène et de fioul domestique.

Le 6 mai 2021, le groupe de pirates informatiques DarkSide a accédé au réseau de Colonial Pipeline et a dérobé 100 Go de données en deux heures. Ils ont ensuite infecté le réseau informatique avec un rançongiciel, affectant de nombreux systèmes, notamment la comptabilité et la facturation.

Colonial Pipeline a dû interrompre son exploitation afin d'empêcher la propagation du rançongiciel. La société de sécurité Mandiant a ensuite été chargée d'enquêter sur l'attaque. Le FBI, la Cybersecurity and Infrastructure Security Agency (CISA), le département de l'Énergie et le département de la Sécurité intérieure ont également participé à l'enquête.

Le 7 mai 2021, la plus grande entreprise de pipelines des États-Unis a dû verser une rançon de 75 bitcoins, soit environ 4,4 millions de dollars, à des pirates informatiques pour obtenir la clé de déchiffrement. Le pipeline a repris du service le 12 mai 2021.

Lors d'une audition devant le Congrès américain le 8 juin 2021, Charles Carmakal, vice-président senior et directeur technique de Mandiant, a déclaré que l'attaquant avait pénétré le réseau en utilisant un mot de passe de compte VPN divulgué. De nombreuses organisations utilisent des VPN pour accéder à distance à leurs réseaux d'entreprise sécurisés.

D'après le témoignage de Carmakal, un employé de Colonial Pipeline aurait partagé un mot de passe VPN avec un autre compte, mais ce mot de passe aurait été divulgué lors d'une autre fuite de données. Partager un même mot de passe entre plusieurs comptes est une erreur fréquente.

Lors de l'audience, Joseph Blount, PDG de Colonial Pipeline, a expliqué les raisons de son paiement de la rançon. Au moment de l'attaque, ignorant l'ampleur de l'infection et le temps nécessaire à la restauration du système, il a pris cette décision dans l'espoir d'accélérer le rétablissement du système.

Après avoir retracé le paiement, le département de la Justice américain a découvert l'adresse numérique du portefeuille utilisé par le pirate et obtenu une ordonnance judiciaire pour confisquer les bitcoins. L'opération a ainsi permis de récupérer 64 bitcoins sur 75, d'une valeur d'environ 2,4 millions de dollars.

« L’héritage » de l’attaque du pipeline colonial

C’est la première fois que les États-Unis prennent conscience du problème des rançongiciels, obligeant le Congrès à adopter de nouvelles lois et incitant de nombreuses agences fédérales à instaurer de nouvelles exigences en matière de cybersécurité. Les attaques par rançongiciel ne sont pas nouvelles ; elles ont déjà ravagé des gouvernements, des établissements de santé et des écoles avant que Colonial Pipeline n’en soit victime. Mais la différence réside dans l’impact régional, selon Ben Miller, vice-président des services chez Dragos, une entreprise spécialisée dans la sécurité des infrastructures.

« J’ai appris par la suite qu’une attention particulière est portée aux personnes lorsqu’un événement a un impact réel sur leur vie », a déclaré Charles Carmakal, vice-président principal de la société de sécurité Mandiant, qui a participé à l’enquête sur l’incident du Colonial. « Quand il s’agit d’essence et de viande, les gens y sont très sensibles. »

Suite à l'incident de l'oléoduc Colonial, de nombreuses compagnies aériennes sont à court de carburant et certains aéroports sont soumis à des restrictions. L'inquiétude face à cette pénurie d'essence a semé la panique, provoquant de longues files d'attente aux stations-service dans de nombreux États. Par ailleurs, les prix moyens à la pompe ont explosé en raison de l'arrêt de l'oléoduc. Dans certains États, des automobilistes transvasent même l'essence dans des sacs en plastique, obligeant la Commission américaine de la sécurité des produits de consommation à publier un avertissement recommandant l'utilisation exclusive de contenants spécifiques pour l'essence.

L'attaque de l'oléoduc Colonial a contraint chacun à prendre au sérieux les risques de sécurité et à mettre en œuvre des politiques qui avaient été jusque-là négligées. Selon Mike Hamilton, ancien responsable de la sécurité des systèmes d'information de la ville de Seattle, obtenir du gouvernement fédéral qu'il fasse de la sécurité des infrastructures critiques une priorité s'est avéré une tâche ardue.

Les incidents survenus fin 2021, dont un visant le producteur de viande JBS Foods, ont accentué la pression sur les décideurs politiques, les organismes de réglementation et les dirigeants d'entreprise. Ils ont incité ces derniers à revoir leurs plans de réponse aux attaques de rançongiciels. Selon Miller, ces plans sont désormais beaucoup plus détaillés.

Néanmoins, une réglementation et une évolution du secteur sont nécessaires. Wendi Whitmore, vice-présidente principale du renseignement sur les menaces chez Palo Alto Networks Unit 42, estime que des accords multilatéraux entre les pays devraient être mis en place pour lutter contre les rançongiciels.

(Selon Axios, Tech Target)