IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Colonial Pipeline utilisait une version vulnérable et obsolète de Microsoft Exchange,
Lorsqu'il a été la cible d'une attaque par ransomware

Le , par Stan Adkens

16PARTAGES

18  0 
Colonial Pipeline est le plus grand système d'oléoducs pour les produits pétroliers raffinés aux États-Unis. L'oléoduc peut transporter jusqu’à 3 millions de barils de carburant par jour entre le Texas et New York. Colonial a temporairement interrompu ses activités vendredi dernier, après avoir déterminé qu'il était victime d'une cyberattaque. Selon un rapport de cybersécurité, la société serait en train d’utiliser une version obsolète de Microsoft Exchange lorsqu'elle a été la cible d'une attaque par ransomware à la fin de la semaine dernière. Ce qui pourrait être la faiblesse exploitée par les pirates informatiques même si le rapport note d’autres causes qui auraient permis l’attaque.

Colonial Pipeline, opérateur du plus grand pipeline de carburant des États-Unis, a déclaré mercredi qu'il redémarrait ses opérations après avoir été arrêté pendant cinq jours en raison d'une cyberattaque. La société a interrompu l'ensemble de ses activités vendredi après que ses réseaux informatiques financiers ont été infectés par une bande de pirates liée à la Russie et connue sous le nom de DarkSide, craignant que les pirates ne s'étendent également à ses activités industrielles. Le FBI a confirmé que le ransomware DarkSide était effectivement responsable de l'attaque.


Un rapport d'expertise a indiqué que le « coupable le plus probable » au sein de l'infrastructure informatique de la société était la vulnérabilité des services Microsoft Exchange, comme l'a noté la journaliste Nicole Perlroth, bien qu'il y ait eu plusieurs autres problèmes que les chercheurs ont qualifiés de « manque général de sophistication en matière de cybersécurité ».

« Conclusions intéressantes de l'expertise judiciaire sur Colonial Pipeline : Ils utilisaient TOUJOURS une version vulnérable de Microsoft Exchange (le même système exploité par des pirates chinois qui a été révélé en mars), parmi d'autres lacunes notables ».


L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a mis en garde les exploitants de pipelines contre les attaques potentielles de ransomware en 2020 et a offert un certain nombre de stratégies d'atténuation potentielles.

DarkSide est l'un des nombreux groupes de pirates informatiques qui terrorisent les organisations américaines depuis plusieurs années, s'introduisant dans des réseaux privés et prenant des fichiers en otage ou menaçant de divulguer des informations sensibles à moins de payer une rançon. D'autres gangs de ransomware ont attaqué des écoles, des hôpitaux et des services de police au cours des derniers mois.

Selon une étude menée par la société de cybersécurité Recorded Future, plus de 100 attaques confirmées de ransomware contre des entités américaines ont déjà eu lieu en 2021. Une étude de la société de cybersécurité Emsisoft a également révélé que les gangs de ransomware ont encouru des coûts d'environ 75 milliards de dollars dans le monde en 2020.

Bien que ces pirates soient suivis de près par les forces de l'ordre américaines, beaucoup vivent en Russie ou dans d'autres pays qui n'extradent pas leurs citoyens, ce qui fait échouer les efforts pour les arrêter. Cependant, en s'attaquant à l'approvisionnement en essence des États-Unis, DarkSide en particulier a rapidement attiré l'attention de la nation.

Pour sa part, Darkside affirme sur son blog que son objectif était de « faire de l'argent » et non de provoquer des perturbations à grande échelle. À l'avenir, il a déclaré qu'il modifierait son approche du choix des cibles afin d'éviter les « conséquences sociales ». Il a ajouté : « Nous sommes apolitiques, nous ne participons pas à la géopolitique, il n'est pas nécessaire de nous lier à un gouvernement défini et de chercher d'autres motifs ». La déclaration du groupe intervient alors que les forces de l'ordre américaines continuent de découvrir de nouveaux détails sur les origines de l'attaque. Les responsables tentent de déterminer s'il s'agit d'un effort coordonné d'un État-nation.

Colonial Pipeline reprend ses activités après la fermeture due au ransomware

Bien que tout indique que l'attaque a touché la partie informatique du réseau de la société et ne s'est pas étendue à la partie technologique opérationnelle qui contrôle les opérations du pipeline, Colonial a déclaré samedi qu'elle a initié la fermeture par mesure de précaution. Cette fermeture d'une importante artère de carburant a mis les entreprises et les consommateurs dans l'embarras. American Airlines a ajouté des arrêts temporaires pour le ravitaillement en carburant de deux vols long-courriers au départ de Charlotte, en Caroline du Nord, et Southwest Airlines a envoyé des avions remplis de carburant supplémentaire dans des aéroports tels que l'aéroport international de Nashville.

Selon American Automobile Association, en Caroline du Sud et en Géorgie, 43 % des stations étaient sans carburant, et 44 % des stations étaient à sec en Virginie, jusqu’à mercredi. Les prix de l'essence ont également grimpé en raison des problèmes d'approvisionnement et de la crainte d'une pénurie. En moyenne, les Américains paient 3,008 dollars pour un gallon d'essence, contre 2,985 dollars mardi et 2,927 dollars il y a une semaine, a indiqué l'AAA en début de semaine.

Tout cela a conduit les consommateurs à rechercher des stations-service qui ont de l'approvisionnement et des prix potentiellement moins chers. C'est là que GasBuddy entre en jeu. GasBuddy, une application qui aide les utilisateurs à trouver et à économiser de l'argent sur l'essence, était en tête de l'App Store d'Apple mercredi. En général, les géants des médias sociaux et du divertissement tels que TikTok, Facebook et YouTube sont en tête du classement des applications gratuites de l'App Store. Les classements reflètent la dynamique des téléchargements d'une certaine application, et pas nécessairement le total des téléchargements cumulés.

Mais Colonial Pipeline a déclaré avoir repris ses activités mercredi après-midi après une interruption de cinq jours. L'oléoduc de la société sert de lien vital entre les raffineurs de la côte du Golfe et la côte Est.

« Suite à ce redémarrage, il faudra plusieurs jours pour que la chaîne d'approvisionnement de livraison des produits revienne à la normale », a indiqué l'exploitant du pipeline de 5 500 miles (environ 8 851 km) sur son site Web. « Certains marchés desservis par Colonial Pipeline peuvent connaître, ou continuer à connaître, des interruptions de service intermittentes pendant la période de démarrage. Colonial acheminera autant d'essence, de diesel et de carburéacteur que possible en toute sécurité et continuera de le faire jusqu'à ce que les marchés reviennent à la normale ».

Colonial a déclaré qu'il travaillait avec des experts en cybersécurité, les forces de l'ordre et d'autres agences fédérales, notamment le ministère de l'Énergie et le FBI. Jennifer Granholm, la secrétaire d'État américaine à l'énergie, a indiqué sur Twitter qu'elle avait parlé du redémarrage avec le PDG de Colonial. La société a engagé Mandiant, une entreprise de cybersécurité d'Alexandria (Virginie), pour faire face à l'incident. Dans sa déclaration, la société a remercié la Maison-Blanche, le FBI et diverses agences américaines pour leur aide dans la gestion de l'attaque.


Lundi, le président Joe Biden a déclaré qu'il semblait que le groupe opérait en Russie et que, bien que l'attaque n'ait pas été dirigée par le gouvernement russe, « il a une certaine responsabilité dans cette affaire ». Le président américain a publié un décret visant à renforcer les défenses américaines en matière de cybersécurité après le piratage du Colonial Pipeline.

Il faut rappeler qu’un audit externe de Colonial Pipeline en 2018 a révélé des pratiques de gestion de l'information « atroces » et « un patchwork de systèmes mal connectés et sécurisés », a rapporté The Associated Press, citant un auteur du rapport. La réponse de Colonial et du gouvernement à la brèche est suivie de près après l'une des attaques de pirates informatiques les plus directes sur les infrastructures critiques américaines après des années d'avertissements.

Cette nouvelle attaque intervient après des mois de drame avec Microsoft Exchange, suite au piratage du serveur Microsoft Exchange par plusieurs groupes, dont le groupe de pirates chinois Hafnium, parrainé par l'État. Colonial Pipeline ne prévoit pas de payer la rançon demandée par les pirates informatiques qui ont chiffré ses données, ont dit à un média des sources familières avec la réponse de la société.

Source : Tweet

Et vous ?

Que pensez-vous de la cyberattaque contre Colonial Pipeline ?
Une version obsolète de Microsoft Exchange est citée parmi les faiblesses exploitées, après des mises à jour suite à la récente vague de piratages. Quels commentaires en faites-vous ?

Voir aussi :

Le Trésor américain victime de piratages informatiques soutenus par un gouvernement étranger, plusieurs autres agences gouvernementales et organisations privées seraient également touchées
Au moins 30 000 organisations US ont été piratées via des failles dans Microsoft Exchange, des correctifs ont été publiés mais l'attaque continuerait sur les serveurs non patchés
Malgré le correctif de Microsoft dans son serveur de messagerie Exchange, le gouvernement US met en garde contre la "menace active qui continue de se développer", et appelle à l'action
Le piratage de SolarWinds pourrait être bien pire que ce que l'on craignait au départ, les fédéraux essayant toujours de savoir si ce n'était que de l'espionnage ou quelque chose de plus sinistre

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 20/05/2021 à 10:39
Le PDG de Colonial Pipeline explique pourquoi il a payé une rançon de 4,4 millions de dollars à des pirates informatiques,
« C'était la bonne chose à faire pour le pays »
Non! La bonne chose à faire est de ne pas connecter à internet des infrastructures vitales pour le pays.

Je viens d'avoir entre les mains le cahier des charges pour la réalisation de l'automation complète d'une station d'épuration. "Une station d'épuration", c'est à dire une "usine à merde" dont la fonction est de traiter les eaux usés de vos WC.

Et devinez quoi? Il est expressément précisé qu'aucune liaison externe n'est permise!

Pourquoi est-ce que certains prennent des mesures de sécurité pour les "usines à merde" alors que d'autres ne les prennent pas pour une centrale nucléaire???

Est-ce que, avant l'an 2000 et la généralisation d'internet, les pipelines fonctionnaient avec des gentils ouvriers qui livraient le pétrole en se promenant avec un sceau dans chaque main?
4  0 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 14/05/2021 à 14:09
De ce que j'ai pu lire de l'Associated Press, on peut dire que Colonial n'est pas trop à cheval sur la sécurité de son pipeline, qu'elle soit informatique ou physique. L'interlocuteur de chez Colonial dit avoir dépensé des millions de dollars dans la sécurité mais ils n'ont toujours pas de RSSI et que la fonction est occupée par une subalterne du DSI. Le RSSI ne doit avoir qu'un supérieur dans une boîte comme celle-ci : le PDG. Parce-que dépendre de la DSI met en conflit avec d'autres responsabilités qui font que les serveurs Exchange ne sont pas patchés.
2  0 
Avatar de AoCannaille
Expert confirmé https://www.developpez.com
Le 08/06/2021 à 13:39
Citation Envoyé par Stan Adkens Voir le message
Quel commentaire faites-vous de l’opération du FBI pour saisir de la rançon payée par Coloniale ?
Je dirais juste qu'ils n'ont pas fait ça quand ces ransomware touchaient les SI des hopitaux...
2  0 
Avatar de redcurve
Inactif https://www.developpez.com
Le 13/05/2021 à 14:05
Encore une boite avec des softs pas à jour qui se fait défoncer alors que le problème a été patché depuis longtemps
1  0 
Avatar de redcurve
Inactif https://www.developpez.com
Le 16/05/2021 à 10:38
Citation Envoyé par marsupial Voir le message
De ce que j'ai pu lire de l'Associated Press, on peut dire que Colonial n'est pas trop à cheval sur la sécurité de son pipeline, qu'elle soit informatique ou physique. L'interlocuteur de chez Colonial dit avoir dépensé des millions de dollars dans la sécurité mais ils n'ont toujours pas de RSSI et que la fonction est occupée par une subalterne du DSI. Le RSSI ne doit avoir qu'un supérieur dans une boîte comme celle-ci : le PDG. Parce-que dépendre de la DSI met en conflit avec d'autres responsabilités qui font que les serveurs Exchange ne sont pas patchés.
Dans la plupart des boites les serveurs ne sont pas patchés, ni les postes utilisateur, ni les routeurs etc. malheureusement.
0  0 
Avatar de Arya Nawel
Membre extrêmement actif https://www.developpez.com
Le 17/05/2021 à 11:02
Pas de bol pour celui qui va hériter du poste
0  0 
Avatar de ormond94470
Membre actif https://www.developpez.com
Le 18/05/2021 à 20:41
Ils ont eu la rançon, plusieurs millions, ils se font oublier quelques temps, tu vis comme un roi quand tu passes du dollars au rouble... Qui va croire leur histoire de pression us...
0  0 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 19/05/2021 à 15:46
Business particulièrement lucratif et on s'étonne de voir autant d'attaques chaque jour.
0  0 
Avatar de
https://www.developpez.com
Le 19/05/2021 à 16:52
Je pensais naïvement que les pirates qui trempent dans ce genre de business étaient suffisamment malins pour ne pas s'en prendre à des entités ayant leurs entrées dans les agences de renseignement US. Ça n'est visiblement pas le cas.
0  0 
Avatar de smarties
Expert confirmé https://www.developpez.com
Le 20/05/2021 à 10:10
Déjà, pour augmenter la sécurité au niveau des utilisateurs des bureaux, je mettrais une politique stricte et restreindrais les accès Windows car l'utilisateur lambda fait moyennement attention.
Je trouve aussi les partages réseaux dangereux car le poste client peut modifier directement les fichiers depuis sont poste.

L'idéal serait même d'avoir le majorité des postes utilisateurs Linux.
Peut être une suite type OnlyOffice pour restreindre les moyens d'accès/modification du document (donc via navigateur).
0  0