Il y a près de trois ans, Colonial Pipeline a été attaquée et a dû fermer son système de pipelines de carburant pendant six jours, entraînant une pénurie de gaz. Washington, DC et 6 autres États doivent déclarer l'état d'urgence.
Vue panoramique du pipeline colonial attaqué
Colonial Pipeline a été victime d'un ransomware en mai 5, affectant plusieurs systèmes numériques et s'arrêtant pendant plusieurs jours. L'incident a touché à la fois les consommateurs et les compagnies aériennes de la côte Est. Il est considéré comme un risque pour la sécurité nationale car le pipeline transporte le pétrole des raffineries vers les marchés industriels. Cela a amené le président américain Joe Biden à déclarer l’état d’urgence.
Le Colonial Pipeline est l'un des oléoducs les plus grands et les plus importants des États-Unis. Il a commencé à fonctionner en 1962 pour faciliter le transport du pétrole du golfe du Mexique vers les États de la côte Est. Le système comprend plus de 5.500 XNUMX milles de pipelines, partant du Texas et traversant le New Jersey, responsables de près de la moitié du carburant de la côte Est. Elle fournit du pétrole raffiné pour l’essence, le carburéacteur et le pétrole pour les maisons.
Le 6 mai 5, le groupe de hackers DarkSide a accédé au réseau de Colonial Pipeline, volant 2021 Go de données en 100 heures. Ils ont ensuite infecté les réseaux informatiques avec un ransomware, affectant plusieurs systèmes informatiques, notamment la comptabilité et la facturation.
Colonial Pipeline a dû fermer le pipeline pour empêcher la propagation du ransomware. Par la suite, la société de sécurité Mandiant a été invitée à enquêter sur l'attaque. Le FBI, la Cybersecurity and Infrastructure Security Agency, le ministère de l’Énergie et le ministère de la Sécurité intérieure ont également participé.
Le 7 mai 5, la plus grande société de pipelines américaine a dû payer une rançon de 2021 Bitcoins, d'une valeur d'environ 75 millions de dollars, à des pirates informatiques pour obtenir la clé de décryptage. Le pipeline sera de nouveau opérationnel à partir du 4,4 mai 12.
Lors d'une audition devant le Congrès américain le 8 juin 6, Charles Carmakal, vice-président principal et directeur de la technologie de Mandiant, a déclaré que l'attaquant avait pénétré le réseau en utilisant une fuite du mot de passe d'un compte VPN. De nombreuses organisations utilisent des VPN pour accéder à distance aux réseaux d'entreprise sécurisés.
Selon le témoignage de Carmakal, un employé de Colonial Pipeline aurait partagé un mot de passe VPN avec un autre compte qui a été exposé d'une manière ou d'une autre lors d'une autre violation de données. Utiliser le même mot de passe pour plusieurs comptes est une erreur que commettent de nombreuses personnes.
Également à l'audience, le PDG de Colonial Pipeline, Joseph Blount, a expliqué pourquoi il avait décidé de payer la rançon. Au moment de l’attaque, il ne connaissait pas l’étendue de l’infection ni combien de temps il faudrait pour restaurer le système. Il a donc pris cette décision dans l’espoir d’accélérer le temps de récupération.
Le ministère américain de la Justice, après avoir retracé le paiement, a découvert l'adresse numérique du portefeuille utilisé par l'attaquant et a obtenu une ordonnance du tribunal pour confisquer le Bitcoin. En conséquence, la campagne a récupéré 64/75 Bitcoins d’une valeur d’environ 2,4 millions de dollars.
« Héritage » de l’attaque du Colonial Pipeline
Pour la première fois, les États-Unis ont porté leur attention sur les ransomwares, obligeant le Congrès à adopter de nouvelles lois et incitant de nombreuses agences fédérales à introduire de nouvelles exigences en matière de cybersécurité. Les attaques de ransomware ne sont pas nouvelles : elles ont détruit de nombreux gouvernements, établissements médicaux et écoles avant que Colonial Pipeline ne devienne une victime. Cependant, la différence réside dans l'impact régional, selon Ben Miller, vice-président des services de la société de sécurité des infrastructures Dragos.
Charles Carmakal - vice-président principal de la société de sécurité Mandiant, l'unité qui a soutenu l'enquête sur l'incident colonial - a commenté : « Plus tard, j'ai appris qu'il existe un certain niveau d'attention lorsqu'un événement qui a un impact réel sur la vie des gens se produit. Quand il s’agit d’essence et de viande, les gens s’en soucieront vraiment.
En raison de l'incident survenu à Colonial Pipeline, de nombreuses compagnies aériennes ont manqué de carburant et certains aéroports ont été empêchés de fonctionner. Les inquiétudes concernant les pénuries d'essence ont provoqué la panique chez les gens, qui ont fait la queue devant les stations-service de nombreux États. En outre, les prix moyens dans les stations de pompage ont également grimpé en flèche en raison des fermetures de pipelines. Dans certains États, les gens versent même de l'essence dans des sacs en plastique, ce qui oblige la Commission américaine de sécurité des produits de consommation à émettre un avertissement l'invitant à n'utiliser que des conteneurs spécialisés pour stocker l'essence.
L’attaque du Colonial Pipeline a forcé tout le monde à prendre au sérieux les risques en matière de sécurité et à adopter des politiques autrefois négligées. Selon Mike Hamilton, ancien responsable de la sécurité de l'information à Seattle, il était auparavant difficile d'amener le gouvernement fédéral à donner la priorité aux exigences de sécurité des infrastructures critiques.
Des affaires ultérieures survenues fin 2021 – qui visaient le producteur de viande JBS Foods – ont exercé une pression supplémentaire sur les décideurs politiques, les régulateurs et les dirigeants. Ils constituent un catalyseur pour que la direction reconsidère ses propres plans de réponse aux ransomwares. Selon Miller, le niveau d’attention accordé à la planification de la réponse est devenu beaucoup plus détaillé.
Néanmoins, la réglementation et l’industrie doivent encore changer. Wendi Whitmore, vice-présidente principale de l'unité 42 de renseignement sur les menaces chez Palo Alto Networks, estime qu'il devrait y avoir des accords multilatéraux entre les pays pour supprimer les ransomwares.
(Selon Axios, Tech Target)
