Une cyberattaque contre un pipeline américain critique a des effets d’entraînement dans toute l’économie, mettant en évidence les vulnérabilités en matière de cybersécurité dans l’infrastructure énergétique vieillissante du pays. Le pipeline colonial, qui fournit environ 45% du carburant utilisé le long de la côte est, a fermé vendredi après une attaque de ransomware par un gang de pirates informatiques qui se fait appeler DarkSide. Selon la durée de l’arrêt, l’incident pourrait avoir un impact sur des millions de consommateurs.
QU’EST-IL ARRIVÉ AU PIPELINE COLONIAL?
Colonial Pipeline, le propriétaire, a interrompu toutes les opérations de pipeline au cours du week-end, forçant ce que la société a appelé un arrêt préventif. Des responsables américains ont déclaré lundi que le malware «ransomware» utilisé dans l’attaque ne s’était pas propagé aux systèmes critiques qui contrôlent le fonctionnement du pipeline. Mais le simple fait qu’il aurait pu le faire a alarmé les experts en sécurité extérieurs.
Y aura-t-il des pénuries d’essence?
Cela dépend de la durée de l’arrêt. Colonial a déclaré qu’il était susceptible de rétablir le service sur la majorité de son pipeline d’ici vendredi.
Il n’y a pas de déficit imminent, et donc pas besoin de paniquer pour acheter de l’essence, a déclaré Richard Joswick, responsable de l’analyse mondiale du pétrole chez S&P Global Platts. Si le pipeline est restauré d’ici vendredi, il n’y aura pas beaucoup de problème. «Si ça traîne pendant deux semaines, c’est un problème», a ajouté Joswick. «Vous vous retrouveriez avec des flambées de prix et probablement certaines stations-service deviendraient faibles. Et l’achat de panique ne fait qu’empirer les choses. «
Alors, que se passe-t-il avec les prix de l’essence?
Il est de plus en plus coûteux de faire le plein à la pompe. Le prix moyen de l’essence a bondi de six cents à 2,96 $ au cours de la semaine dernière, et il devrait continuer à grimper en raison de la fermeture du pipeline, selon AAA, le Mississippi, le Tennessee et la côte est de la Géorgie au Delaware sont les plus susceptibles de connaître une disponibilité de carburant limitée et des prix plus élevés, et si la moyenne nationale augmente de trois cents de plus, ce seraient les prix les plus élevés depuis novembre 2014, selon AAA.
QU’EST-CE QUE LE RANSOMWARE ENCORE?
Les ransomwares brouillent les données qui ne peuvent être décodées avec une clé logicielle qu’après que la victime a payé les criminels. Une épidémie d’attaques de ransomwares est devenue si grave que les responsables de l’administration Biden ont récemment jugé alors une menace pour la sécurité nationale. Les hôpitaux, les écoles, les services de police et les gouvernements des États et locaux sont régulièrement touchés. Les attaques de ransomwares sont difficiles à arrêter en partie parce qu’elles sont généralement lancées par des syndicats criminels qui bénéficient d’une protection à l’étranger, principalement dans les anciens États soviétiques.
QUI SE TROUVE DERRIÈRE L’ATTAQUE ET QU’EST-CE QUI LES MOTIVE?
Les pirates sont des russophones de DarkSide, l’un des dizaines de gangs de ransomwares spécialisés dans la double extorsion, dans laquelle les criminels volent les données d’une organisation avant de les chiffrer. Ils menacent ensuite de vider ces données en ligne si la victime ne paie pas, créant une deuxième dissuasion d’essayer de récupérer sans payer.
Les gangs de ransomwares disent qu’ils ne sont motivés que par le profit. Colonial n’a pas dit combien de rançon DarkSide demandait ou s’il avait payé. Jusqu’à présent cette année, les demandes des gangs de ransomwares ont atteint jusqu’à 50 millions de dollars.
Les responsables américains disent qu’il n’y a aucune preuve que le Kremlin bénéficie directement des ransomwares bien que les services de sécurité russes tolèrent et parfois même emploient ces cybercriminels. Il n’est pas clair si DarkSide a de telles affiliations russes. Le président Joe Biden a déclaré lundi en réponse aux questions des journalistes qu’il n’y avait aucune preuve à ce jour que le gouvernement russe était impliqué, mais qu’il y avait des preuves que DarkSide est basé en Russie.
QU’EST-CE QUI REND CE DIFFÉRENT DES AUTRES HACKS RÉCENTS?
Deux grandes campagnes de piratage récentes – Solar Winds et le compromis de Microsoft Exchange – sont considérées par les responsables américains comme de l’espionnage soutenu par l’État. Dans le premier cas, des hackers d’élite russes ont infiltré le gouvernement américain et les réseaux d’entreprises pendant des mois jusqu’à leur découverte en décembre. Dans ce dernier piratage, détecté pour la première fois fin janvier, les États-Unis ont blâmé les cyberespions chinois. Biden a déjà annoncé des sanctions contre la Russie pour le piratage de SolarWinds et l’ingérence électorale américaine, bien que de nombreux experts ne les jugent pas suffisantes pour dissuader le président russe Vladimir Poutine Biden a déclaré qu’il prévoyait de soulever la question de la sécurité des cybercriminels par la Russie lors de sa rencontre. Poutine, apparemment le mois prochain.
DarkSide a publié lundi une déclaration sur son site Web sombre cherchant à blâmer l’attaque coloniale sur les affiliés qui ont loué son ransomware, c’est ainsi que fonctionne cette entreprise. DarkSide prétend qu’il est apolitique et n’attaque pas les hôpitaux, les maisons de retraite, les écoles ou les agences gouvernementales.
POURQUOI LE COLONIAL N’A-T-IL PAS ÉTÉ CAPABLE DE PRÉVENIR OU DE CONTENIR L’ATTAQUE?
Ni les autorités coloniales ni les autorités fédérales n’ont expliqué comment les attaquants ont violé le réseau de l’entreprise et sont passés inaperçus. Les experts en cybersécurité pensent que Colonial n’a peut-être pas utilisé de défenses de pointe, dans lesquelles les agents logiciels surveillent activement les réseaux pour détecter les anomalies et sont programmés pour détecter les menaces connues telles que les outils d’infiltration de DarkSide.
DE QUOI COLONIAL A-T-IL BESOIN POUR RESTAURER SON RÉSEAU ET COMBIEN DE TEMPS CELA PRENDRA-T-IL?
Cela dépend de l’ampleur de l’infection de Colonial, du paiement de la rançon et, le cas échéant, du moment où il a obtenu la clé de décryptage du logiciel. Le processus de décryptage pourrait prendre au moins plusieurs jours, selon les experts. Colonial n’a pas répondu aux questions sur ces questions, même si elle a déclaré que seul son réseau informatique était affecté.
LES PIPELINES FONT-ILS UN PLUS GRAND RISQUE D’ATTAQUES DE RANSOMWARE?
Ils ne sont pas nécessairement plus à risque, mais ils posent des défis uniques. La structure du pipeline Colonial est une vaste infrastructure essentielle qui fournit du carburant aux États de la côte Est. Un si grand réseau est obligé d’avoir différents systèmes de contrôle le long de son chemin où il se connecte avec des distributeurs ou des clients.
«Chaque fois que vous connectez quelque chose, vous courez le risque d’infecter quelque chose», a déclaré Kevin Book, directeur général de Clearview Energy Partners. Cette variabilité peut également empêcher les pirates de savoir où trouver les vulnérabilités, a-t-il déclaré.
Au fil du temps, à mesure que les pipelines se développent, les entreprises peuvent se retrouver avec un mélange de technologies – certaines pièces construites au sein de l’entreprise et d’autres importées de l’extérieur, a déclaré Peter McNally, responsable du secteur mondial chez Third Bridge. De nombreuses grandes entreprises énergétiques ont subi des pressions de la part des investisseurs pour limiter le réinvestissement dans ces actifs, qui peuvent remonter à plusieurs décennies, a-t-il ajouté. Cela peut être un problème lorsqu’il s’agit de criminels modernes.
QUE PEUT-ON FAIRE POUR METTRE FIN AUX ATTAQUES DE RANSOMWARE?
Les tentatives précédentes visant à mettre les opérateurs de ransomware à la faillite en attaquant leur infrastructure en ligne se sont soldées par un coup de foudre sur Internet. Le cybercommandement américain, Microsoft et les efforts de la police transatlantique avec des partenaires européens n’ont pu que mettre un terme temporaire au problème.
Le mois dernier, un groupe de travail public-privé comprenant Microsoft, Amazon, le FBI et les services secrets a remis à la Maison Blanche un plan d’action urgent de 81 pages selon lequel des progrès considérables pourraient être possibles en un an si un effort concerté est monté avec les alliés américains, qui sont également sous attaque féroce.
Certains experts recommandent d’interdire les paiements de rançon. Le FBI décourage le paiement, mais le groupe de travail a déclaré qu’une interdiction serait une erreur tant que de nombreuses cibles potentielles resteraient «malheureusement mal préparées», susceptibles de faire faillite si elles ne pouvaient pas payer. Lundi, Anne Neuberger, conseillère en cybersécurité au Conseil national de sécurité, a déclaré que parfois les entreprises n’avaient pas d’autre choix que de payer une rançon.
Le groupe de travail a déclaré que les acteurs du ransomware devaient être nommés et humiliés et que les gouvernements qui les hébergeaient devaient être punis. Il appelle à la divulgation obligatoire des paiements de rançon et à la création d’un «fonds de réponse» fédéral pour fournir une aide financière aux victimes dans l’espoir que, dans de nombreux cas, cela les empêchera de payer des rançons.
