Le plus grand oléoduc des États-Unis est la cible d’une cyberattaque ayant provoqué une interruption complète, puis partielle, de ses activités. Derrière l’attaque se cache DarkSide, un groupe de hackers spécialisé dans le « ransomware as a service ». Si de forts soupçons pointent encore une fois vers la Russie, le président américain a déclaré n’en avoir pour l'instant aucune preuve.
« Notre but est de faire de l’argent. Pas de créer des problèmes sociétaux, » indique le communiqué de presse, lundi 10 mai. Si la première acception relève de l’évidence, la deuxième laisse dubitatif tant l’ampleur des problèmes créés inquiète jusqu’à la Maison-Blanche.
L’auteur du message s’appelle DarkSide, un groupe de hackers spécialisé dans le « ransomware as a service », et fait suite à la cyberattaque dont a été victime Colonial Pipeline, un réseau de 8900 kilomètres d’oléoducs allant du Texas à la côte Est des États-Unis. L'attaque a causé l’arrêt de l’acheminement de 45 % du pétrole américain durant trois jours. Le FBI a confirmé qu’il en était l’auteur, lundi. Le montant de la rançon n'a pas été dévoilé.
L’attaque est tellement sérieuse que la Maison-Blanche en a été informée samedi dernier et le gouvernement américain a fait part de son inquiétude, a rapporté la BBC. Si plusieurs experts en cybersécurité pointent des liens entre DarkSide et la Russie, Joe Biden a indiqué n’en n’avoir pour l’instant aucune preuve. La Russie a en tout cas nié tout lien avec l’attaque, ce mardi.
Le spécialiste de cybersécurité FireEye a été engagé pour assister Colonial Pipeline, a indiqué l’Associated Press. Cette dernière a déjà partiellement réouvert lundi et espère retrouver sa pleine activité d’ici la fin de la semaine, a-t-il indiqué dans un communiqué de presse, mais les conséquences économiques s’annoncent déjà importantes entre prix du pétrole à la hausse et inquiétude sur son approvisionnement futur.
Groupe «apolitique»
Si Colonial Pipeline a été contraint de fermer ses vannes vendredi dernier, l’attaque de DarkSide est intervenue le jour précédent où une blitz lui aurait permis de voler plus de 100Go de données avant de bloquer les ordinateurs de l’entreprise à l’aide d’un ransomware, a rapporté Bloomberg, premier média à avoir informé de l’attaque.
« Les attaquants de DarkSide tentent de s'infiltrer dans le réseau de l’entreprise avec pour objectif la compromission du contrôleur de domaine pour ensuite se déplacer latéralement dans le réseau, avant de déclencher leur charge et générer l’impact le plus large possible », a indiqué Assaf Dahan, spécialiste de la cybersécurité des endpoints chez Cybereason, à L’Informaticien. Les rançons se situent en général dans une large fourchette allant de 20 000 à deux millions de dollars, a-t-on observé chez Cybereason.
Apparu en août dernier, DarkSide s’est spécialisé dans le « ransomware as a service » et opère des attaques ciblées selon ses victimes. Le ransomware exécute une commande PowerShell pour supprimer Shadow Volume Copies de telle sorte que les fichiers ne puissent pas être restorés avant de détruire plusieurs bases de données, a analysé Bleeping Computer. Le groupe se décrit comme « apolitique », selon un terme employé dans le même communiqué de presse du lundi 10 mai.
Ses attaques lui auraient rapporté au moins un million de dollars, toujours selon Bleeping Computer. Ses cibles comprennent des systèmes d’éducation et de santé, des organisations à but non lucratif ou des agences gouvernementales. Et désormais Colonial Pipeline.
« Qu’un apercu »
L’évènement est « un signal d'alarme pour les fournisseurs d'infrastructures nationales et critiques du monde entier » nous a indiqué Max Heinemeyer, responsable des chasses aux menaces chez Darktrace, et pour qui « les approches traditionnelles de la sécurité des SCI ne suffisent plus ».
Colonial Pipeline n’est pas la première entreprise d’envergure à devoir gérer les conséquences d’une cyberattaque. En novembre dernier, plusieurs administrations et entreprises américaines, dont Google et FireEye entre autres, ont été la cible d’une cyberattaque d’ampleur encore inconnue – appelée Solorigate - et attribuée à la Russie.
« Cette cyberattaque contre Colonial Pipeline n'est qu'un aperçu de ce à quoi vont ressembler les cyberattaques à l’avenir », nous a confié Grant Geyer, directeur des produits chez Claroty, spécialiste de la cybersécurité des systèmes industriels. « Les infrastructures nationales critiques sont des cibles faciles et très prisées par deux types d’attaquants : les pirates à la recherche d’argent et les attaquants à la solde d’États. »