28 mai 2021

L’ironie du sort de l’attaque Colonial Pipeline

Etats-Unis : les oléoducs Colonial Pipeline ont versé une rançon de 4,4  millions de dollars à des hackeurs

Le nombre de cyberattaques a explosé ces dernières années. Parmi celles-ci, de nombreuses font partie de la catégorie des rançongiciels. Avant de rentrer dans le vif du sujet, commençons par rappeler ce qu’est un rançongiciel (aka. ransomware). Pour cela, nous allons nous baser sur la définition établie par le site gouvernemental CyberMalveillance : « Les rançongiciels (ransomwares en anglais) sont des logiciels malveillants qui bloquent l’accès à l’ordinateur ou à des fichiers en les chiffrant et qui réclament à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès. La machine peut être infectée après l’ouverture d’une pièce jointe, ou après avoir cliqué sur un lien malveillant reçu dans des courriels, ou parfois simplement en naviguant sur des sites compromis, ou encore suite à une intrusion sur le système. Dans la majorité des cas, les cybercriminels exploitent des vulnérabilités connues dans les logiciels, mais dont les correctifs n’ont pas été mis à jour par les victimes. »

Ainsi, en résumé, le but est d’extorquer de l’argent aux victimes par la force en échange d’une éventuelle promesse…

Si nous continuons dans ce sens, deux types de rançongiciels apparaissent : locker et crypto. Le premier type permet de bloquer les fonctions de base de l’équipement ciblé, alors que le second chiffre les données personnelles (fichiers, etc.) sans pour autant interférer avec les fonctions vitales de l’équipement attaqué. Parmi les rançongiciels les plus connus, nous pouvons mentionner Locky, WannaCry, Petya, badRabbit ou encore Ryuk.

Revenons au sujet principal, à savoir Colonial Pipeline. Colonial Pipeline est un oléoduc long de presque 9000 km transportant des hydrocarbures depuis Houston (Texas) jusqu’au port de New York (environ 3 millions de barils par jour).

Le 6 mai 2021, toute l’infrastructure de cet oléoduc est touchée par une vaste cyberattaque. Plus de 100Go de données auraient été dérobées. Suite à cette attaque, la totalité des activités de l’oléoduc se sont retrouvées paralysées, et ce jusqu’au 13 mai, engendrant une pénurie de carburant sur la côte Est des États-Unis. Par la suite, malgré que cela soit une mauvaise pratique que de payer les rançons, l’entreprise décide de la payer à hauteur de 5 millions de dollars (75 bitcoins). Les malfaiteurs qui se cacheraient derrière sont identifiés en tant que gangs Darkside.

En quelques mots, le gang Darkside est un raas (ransomware-as-a-service), c’est-à-dire qu’il existe 2 entités. La première étant l’équipe en charge de son développement (et qui parfois imposent des limites éthiques à la seconde entité). La seconde représente les affiliés (sous-traitants). Cette équipe, indépendante, est chargée d’injecter le malware chez une victime choisie par leurs soins. Tous les moyens sont bons pour y parvenir (achats d’identifiants déjà compromis sur le Darknet, attaques informatiques, Phishing, etc.).

Pourquoi payer une rançon n’est pas conseillé ? Il existe plusieurs raisons à cela, la première est que la payer revient à faire confiance aux cybercriminels sans avoir la certitude qu’ils fourniront l’antidote en retour. La seconde est que la rançon permet de financer les méfaits, d’améliorer et effectuer de nouveaux développements sur le programme, afin de le rendre encore plus sophistiqué pour de nouvelles attaques (nouvelles victimes).

Cependant, ironie du sort, malgré le fait que la rançon a été payée et que le groupe de cybercriminels a fourni le logiciel antidote, celui-ci était loin d’être optimal (très lent) … L’activité a pu reprendre rapidement grâce à la remise en place des sauvegardes et également grâce au fait que les forces de l’ordre aient réussi à saisir un serveur américain utilisé par les attaquants pour stocker toutes les données extirpées. Ainsi, un grand volume de données a pu être récupéré.

Pour terminer, la reprise a pu se faire assez rapidement, car après investigation l’infrastructure d’acheminement n’a pas été, à proprement parlé, impactée. Les serveurs affectés concernaient le système de facturation (mesure du volume de carburant envoyé aux clients de Colonial Pipeline).

Ces rançongiciels font malheureusement de plus en plus partie de notre quotidien et la grande difficulté pour se protéger de ces logiciels malveillants réside dans le fait que ces applications peuvent prendre de nombreuses formes différentes. Ainsi, il est primordial que de se poser la question sur l’impact que cela aurait si ça arrivait (données sensibles et confidentielles – industriels, RGPD, etc.). La seconde question à minima à se poser est qu’elle serait la probabilité que cela arrive. Dans tous les cas, la meilleure règle, afin d’éviter une interruption de service, est d’effectuer des sauvegardes très régulières sur des supports sécurisés (et idéalement dissocié du même réseau – éviter la propagation de vers informatique par exemple sur des services vulnérables).

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *