« C’était la meilleure chose à faire pour le pays », a déclaré le patron de Colonial Pipeline, victime d’une cyberattaque massive sur ses systèmes la semaine dernière.

Colonial Pipeline a retrouvé la pleine possession de ses activités une semaine après avoir été la victime d’une cyberattaque massive ayant paralysé ses canaux d’acheminement de pétrole vers la côte Est américaine. Mais l’entreprise a payé le prix fort.

Joseph Blount, le chef d’entreprise de Colonial Pipeline, a reconnu avoir versé 4,4 millions de dollars de rançon auprès de Darkside – les hackers vraisemblablement responsables de l’attaque – dans une interview accordée au Wall Street Journal, mercredi. Le chef d’entreprise a déclaré avoir payé n’étant pas sûr de l’ampleur des dégâts sur ses services.

« Je sais que c’est une décision hautement controversée. Et je dois avouer ne pas être à l’aise à l’idée d’avoir sorti de l’argent pour en faire bénéficier ces gens-là. Mais c’était la meilleure chose à faire pour le pays », a-t-il confié à nos confères américains. 75 % du paiement a été transféré sous la forme de bitcoins, a indiqué une source au journal.

La rançon est deux millions de dollars plus élevée que les analyses de Cybereason, entreprise spécialisée dans la cybersécurité, et qui l'avait estimée entre 20 000 et deux millions de dollars.

Filières professionnelles

Si les ransomwares ont explosé à la faveur du confinement et du télétravail, la reconnaissance du paiement d’un rançon par une entreprise d’une telle envergure, ainsi que la révélation de son montant, sont assez inédits. Surtout, les attaques semblent s’être professionnalisées et multipliées, en témoignent les exemples SolarWinds aux États-Unis ou la multiplication des attaques sur plusieurs services publics.

« Nous sommes face à la structuration d’une filière extrêmement rentable. Les cybercriminels ont compris que le rançongiciel était un secteur qui rapportait énormément d’argent », nous a confié Damien Alexandre, membre du Clusif et animateur de son espace Coter.

Le plus grand oléoduc des États-Unis est la cible d’une cyberattaque ayant provoqué une interruption complète, puis partielle, de ses activités. Derrière l’attaque se cache DarkSide, un groupe de hackers spécialisé dans le « ransomware as a service ». Si de forts soupçons pointent encore une fois vers la Russie, le président américain a déclaré n’en avoir pour l'instant aucune preuve.

« Notre but est de faire de l’argent. Pas de créer des problèmes sociétaux, »indique le communiqué de presse, lundi 10 mai. Si la première acception relève de l’évidence, la deuxième laisse dubitatif tant l’ampleur des problèmes créés inquiète jusqu’à la Maison-Blanche.

L’auteur du message s’appelle DarkSide, un groupe de hackers spécialisé dans le « ransomware as a service », et fait suite à la cyberattaque dont a été victime Colonial Pipeline, un réseau de 8900 kilomètres d’oléoducs allant du Texas à la côte Est des États-Unis. L'attaque a causé l’arrêt de l’acheminement de 45 % du pétrole américain durant trois jours. Le FBI a confirmé qu’il en était l’auteur, lundi. Le montant de la rançon n'a pas été dévoilé.

L’attaque est tellement sérieuse que la Maison-Blanche en a été informée samedi dernier et le gouvernement américain a fait part de son inquiétude, a rapporté la BBC. Si plusieurs experts en cybersécurité pointent des liens entre DarkSide et la Russie, Joe Biden a indiqué n’en n’avoir pour l’instant aucune preuve. La Russie a en tout cas nié tout lien avec l’attaque, ce mardi.

Le spécialiste de cybersécurité FireEye a été engagé pour assister Colonial Pipeline, a indiqué l’Associated Press. Cette dernière a déjà partiellement réouvert lundi et espère retrouver sa pleine activité d’ici la fin de la semaine, a-t-il indiqué dans un communiqué de presse, mais les conséquences économiques s’annoncent déjà importantes entre prix du pétrole à la hausse et inquiétude sur son approvisionnement futur.

Groupe «apolitique»

Si Colonial Pipeline a été contraint de fermer ses vannes vendredi dernier, l’attaque de DarkSide est intervenue le jour précédent où une blitz lui aurait permis de voler plus de 100Go de données avant de bloquer les ordinateurs de l’entreprise à l’aide d’un ransomware, a rapporté Bloomberg, premier média à avoir informé de l’attaque.

« Les attaquants de DarkSide tentent de s'infiltrer dans le réseau de l’entreprise avec pour objectif la compromission du contrôleur de domaine pour ensuite se déplacer latéralement dans le réseau, avant de déclencher leur charge et générer l’impact le plus large possible »,a indiqué Assaf Dahan,spécialiste de la cybersécurité des endpointschez Cybereason, à L’Informaticien. Les rançons se situent en général dans une large fourchette allant de 20 000 à deux millions de dollars, a-t-on observé chez Cybereason.

Apparu en août dernier, DarkSide s’est spécialisé dans le « ransomware as a service » et opère des attaques ciblées selon ses victimes. Le ransomware exécute une commande PowerShell pour supprimer Shadow Volume Copies de telle sorte que les fichiers ne puissent pas être restorés avant de détruire plusieurs bases de données, a analysé Bleeping Computer. Le groupe se décrit comme « apolitique », selon un terme employé dans le même communiqué de presse du lundi 10 mai.

Ses attaques lui auraient rapporté au moins un million de dollars, toujours selon Bleeping Computer. Ses cibles comprennent des systèmes d’éducation et de santé, des organisations à but non lucratif ou des agences gouvernementales. Et désormais Colonial Pipeline.

« Qu’un apercu »

L’évènement est « un signal d'alarme pour les fournisseurs d'infrastructures nationales et critiques du monde entier »nous a indiqué Max Heinemeyer, responsable des chasses aux menaces chez Darktrace, et pour qui « les approches traditionnelles de la sécurité des SCI ne suffisent plus ».

Colonial Pipeline n’est pas la première entreprise d’envergure à devoir gérer les conséquences d’une cyberattaque. En novembre dernier, plusieurs administrations et entreprises américaines, dont Google et FireEye entre autres, ont été la cible d’une cyberattaque d’ampleur encore inconnue – appelée Solorigate - et attribuée à la Russie.

« Cette cyberattaque contre Colonial Pipeline n'est qu'un aperçu de ce à quoi vont ressembler les cyberattaques à l’avenir »,nous a confié Grant Geyer, directeur des produits chez Claroty, spécialiste de la cybersécurité des systèmes industriels. « Les infrastructures nationales critiques sont des cibles faciles et très prisées par deux types d’attaquants : les pirates à la recherche d’argent et les attaquants à la solde d’États. »

2,3 millions des 4,4 donnés aux hackers du plus grand oléoduc américain ont été retrouvés après une opération du FBI ont déclaré les autorités américaines.

C’est un bon début et la moitié du chemin parcouru – au moins d’un point de vue financier – pour les autorités américaines dans l’une des cyberattaques les plus importantes de ces dernières années.

2,3 millions de dollars de la rançon versées aux hackers de Colonial Pipeline ont été récupérés, ont annoncé les autorités américaines, lundi 7 juin lors d’une conférence de presse. Les autorités américaines ont déclaré avoir mis la main sur un portefeuille utilisé par DarkSide pour récolter les fonds de Colonial Pipeline grâce à une opération menée par le FBI.

« Le ministère de la justice a localisé et récupéré la majorité de la rançon que Colonial a versée au groupe DarkSide le mois dernier », a déclaré la ministre adjointe à la Justice, Lisa Monaco, lors de la conférence de presse, dans des propos rapportés par l’AFP.

Colonial Pipeline, le plus grand oléoduc américain transportant du pétrole du Texas jusqu’à la côte Est a été victime d’une cyberattaque début mai dernier l'obligeant à fermer ses vannes pendant près d’une semaine. Joseph Blount, CEO de l'entreprise, a reconnu au Wall Street Journal avoir payé une rançon de 4,4 millions de dollars aux hackers de Darkside. Il témoignera devant le Congrès américain dans le courant de la semaine, a précisé le Financial Times.

63,7 des 75 bitcoins récupérés

Au total, le département de la Justice a déclaré que le FBI avait mis la main sur 63,7 bitcoins des 75 versés par l’entreprise. Le cours de la monnaie ayant grandement chuté récemment, la valeur totale des bitcoins récupérés ne représente qu’un peu plus de la moitié de la somme versée.

Face à la multiplication des cyberattaques ces dernières années – notamment celle du Solorigate – l’administration Biden a signé un décret de cybersécurité. Celui-ci est découpé en dix sections et présente l’ensemble des mesures prises pour renforcer la cybersécurité de la nation américaine par l’amélioration du partage de l’information, la création d’un comité d’examen ou l’imposition de nouvelles normes.