Colonial Pipeline aurait versé près de 5 millions de dollars en bitcoins au groupe de pirates qui l'a forcé à fermer ses systèmes de manière proactive, conduisant les automobilistes de certains États américains à se ruer sur les stations-service. Mais la société a fini par utiliser ses propres sauvegardes pour rétablir ses opérations, ce qui confirme qu’en matière de ransomware, on n'obtient pas toujours ce pour quoi on paie. En effet, le logiciel fourni par les cybercriminels pour rétablir les réseaux verrouillés était très "lent". D’un autre coté, plusieurs médias ont rapporté, plus tôt, que Colonial ne paiera pas la rançon demandée par le groupe de pirates russophones DarkSide.La société américaine a payé la forte rançon en cryptomonnaie difficile à tracer dans les heures qui ont suivi l'attaque, le vendredi presque immédiatement après avoir détecté l'infection, soulignant l'immense pression à laquelle l'opérateur basé en Géorgie doit faire face pour que l'essence et le kérosène circulent à nouveau dans les grandes villes de la côte Est, ont déclaré des personnes au courant de la réponse à l’attaque. Une troisième personne au fait de la situation a déclaré que les responsables du gouvernement américain savent que Colonial a effectué le paiement.
Une fois qu'ils ont reçu le paiement, les pirates ont fourni à l'opérateur un outil de déchiffrement pour restaurer son réseau informatique désactivé. L'outil était si lent que la société a continué à utiliser ses propres sauvegardes pour aider à restaurer le système, a déclaré l'une des personnes au courant des efforts de la société.
Cette nouvelle est en contradiction avec des rapports publiés plus tôt cette semaine selon lesquels la société n'avait aucune intention de payer une rançon d'extorsion pour aider à restaurer le plus grand système d'oléoducs pour les produits pétroliers raffinés aux États-Unis, selon deux sources impliquées dans l’affaire. Les sources de CNN, par exemple, ont insisté sur le fait que Colonial Pipeline n'avait pas encore payé la rançon, et n'aurait probablement pas besoin de le faire, suggérant qu'il avait déjà « réussi à récupérer les données les plus importantes qui avaient été volées » avec l'aide du gouvernement américain.
La nouvelle est également un peu inquiétante en raison de la façon dont une rançon réussie pourrait encourager les pirates informatiques à l'avenir. Au fil des ans, nous avons entendu parler de petites entreprises et d'entités gouvernementales locales qui ont payé des rançons pour retrouver l'accès à leurs systèmes, mais il s'agit peut-être de l'un des exemples de ransomware les plus médiatisés à ce jour, et la nouvelle pourrait inspirer des imitateurs.
Les pirates, qui, selon le FBI, sont liés à un groupe appelé DarkSide, sont spécialisés dans l'extorsion numérique et seraient situés en Russie. Lundi, alors que l'achat panique d'essence faisait la une des journaux et que la Maison-Blanche s'en mêlait, DarkSide a publié une déclaration insistant sur le fait qu'il n'a jamais voulu faire un tel gâchis. « Notre objectif est de gagner de l'argent », peut-on lire dans la déclaration, « et non de créer des problèmes pour la société ». À l'avenir, le groupe a déclaré qu'il modifierait son approche du choix des cibles afin d'éviter les « conséquences sociales ».
DarkSide, selon son site Web, gagne de l'argent de différentes manières. Outre les ransomwares, il menace également de divulguer les données des entreprises à des tiers (y compris des vendeurs à découvert) à moins qu'un paiement supplémentaire ne soit effectué. Nicole Perlroth, célèbre journaliste spécialisée dans la cybersécurité, a confirmé que le paiement s'élevait à 75 bitcoins, bien qu'elle indique que le paiement a été effectué lundi, et non vendredi.
Dans un tweet, Perlroth a appuyé mardi un rapport d'expertise qui a indiqué que le « coupable le plus probable » au sein de l'infrastructure informatique de la société était la vulnérabilité des services Microsoft Exchange, bien qu'il y ait eu plusieurs autres problèmes que les chercheurs ont qualifiés de « manque général de sophistication en matière de cybersécurité ».
Payer la rançon aux auteurs d’une cyberattaque hautement médiatisée, un précédent peut-être dangereux
Le président Biden a également refusé de répondre à la question de savoir si Colonial Pipeline avait payé ses extorqueurs lors d'un point de presse jeudi. Il n'a pas exclu la possibilité que l'administration cible les pirates, un groupe de ransomware appelé DarkSide, par une frappe de représailles. Il a déclaré que les États-Unis prendraient « une mesure visant à perturber leur capacité à opérer ».
Un ransomware est un type de logiciel malveillant qui verrouille les fichiers d'une victime, que les attaquants promettent de déverrouiller contre un paiement. Jen Psaki, attachée de presse de la Maison-Blanche, a déclaré lors d'un autre point de presse : « Le FBI recommande de ne pas payer de rançon dans ces cas-là », car cela peut inciter les pirates à mener d'autres attaques. Elle a ajouté que « les entités ou entreprises du secteur privé vont prendre leurs propres décisions ».
Cependant, Anne Neuberger, la principale responsable de la cybersécurité à la Maison-Blanche, a refusé catégoriquement de dire si les entreprises devaient payer des cyberrançons lors d'un briefing en début de semaine. « Nous reconnaissons cependant que les entreprises sont souvent dans une position difficile si leurs données sont chiffrées et qu'elles n'ont pas de sauvegardes et ne peuvent pas récupérer les données », a-t-elle déclaré aux journalistes lundi.
Un expert en criminalistique numérique a suggéré que 5 millions de dollars n'est pas une somme particulièrement importante pour quelque chose comme ça : « La rançon est généralement de l'ordre de 25 à 35 millions de dollars pour une telle entreprise. Je pense que l'auteur de la menace a réalisé qu'il s'était trompé d'entreprise et a déclenché une réponse massive du gouvernement », a déclaré Ondrej Krehel, PDG de LIFARS. « C'est un cybercancer. Vous voulez mourir ou vous voulez vivre ? Ce n'est pas une situation où l'on peut attendre ».
Des pratiques de gestion de l'information "atroces" chez Colonial, selon un rapport d’audit
Un audit externe réalisé il y a trois ans chez Colonial, l'importante société de pipelines de la côte Est, a révélé des pratiques de gestion de l'information « atroces » et « un patchwork de systèmes mal connectés et sécurisés », a déclaré son auteur à l'Associated Press. « Nous avons trouvé des lacunes flagrantes et de gros problèmes », a déclaré Robert F. Smallwood, dont le cabinet de conseil iMERGE a remis un rapport de 89 pages en janvier 2018 après un audit de six mois. « Je veux dire qu'un élève de quatrième aurait pu pirater ce système ».
Si l'audit d'iMERGE n'était pas directement axé sur la cybersécurité, « nous avons trouvé de nombreux problèmes de sécurité, et cela a été mis dans le rapport ». Smallwood, associé d'iMERGE et directeur général de l'Institute for Information Governance, a déclaré avoir préparé un plan de 24 mois et de 1,3 million de dollars pour Colonial.
Les déclarations de Colonial mercredi suggèrent qu'il a peut-être tenu compte d'un certain nombre de recommandations de Smallwood. La société a déclaré que depuis 2017, elle a engagé quatre entreprises indépendantes pour des évaluations des risques de cybersécurité et a augmenté ses dépenses informatiques globales de plus de 50 %. Bien qu'elle n'ait pas précisé de montant, elle a dit avoir dépensé des dizaines de millions de dollars.
« Nous évaluons et améliorons constamment nos pratiques de sécurité, tant physiques que numériques », a déclaré la société privée de Géorgie en réponse aux questions de l'AP sur les conclusions de l'audit. Les sociétés qui ont travaillé sur la cybersécurité n’ont pat été nommées, mais une entreprise, Rausch Advisory Services, située à Atlanta près du siège de Colonial, a reconnu en faire partie. Le directeur de l'information de Colonial siège au conseil consultatif de Rausch.
En outre, Colonial affirme avoir mis en place une surveillance active et des systèmes de détection des menaces qui se chevauchent sur son réseau et avoir identifié l'attaque par ransomware « dès que nous en avons eu connaissance ». Colonial a déclaré que son réseau informatique est strictement séparé des systèmes de contrôle des pipelines, qui n'ont pas été touchés par le ransomware.
Mais Colonial n'a pas dit comment les pirates ont pénétré dans son réseau. Les autorités fédérales et les experts en cybersécurité ne manqueront pas d'examiner de près la vulnérabilité de son réseau à la compromission, afin de déterminer comment la cyberattaque la plus dévastatrice pour les infrastructures critiques américaines aurait pu être évitée.
Smallwood a également déclaré qu'il n'avait trouvé aucune formation de sensibilisation à la sécurité, qui apprend surtout aux employés à ne pas être victimes de phishing, la cause de plus de 90 % des cyberintrusions. Mais Colonial a déclaré que son régime de cybersécurité élargi comprend des campagnes régulières de simulation de phishing pour les employés.
Il n'est pas clair quelles parties du Colonial Pipeline étaient en danger : un porte-parole a laissé entendre que rien ne prouvait que les systèmes opérationnels de la société avaient été compromis ; CNN a fait dire mercredi à trois sources que le pipeline avait été fermé parce que son système de facturation était affecté, et que la société n'était pas sûre de pouvoir facturer correctement le carburant. Le reportage de Kim Zetter, journaliste spécialisée dans la cybersécurité, suggère que la décision était probablement plus compliquée que cela, car d'autres entités du système de distribution du pétrole craignaient également que le ransomware ne se propage à leurs ordinateurs.
Colonial a commencé à reprendre ses activités mercredi soir, et le président Biden a déclaré qu'il devrait « atteindre sa pleine capacité opérationnelle au moment où nous parlons » lors d'un briefing jeudi après-midi. Les approvisionnements en pétrole devraient connaître « un retour à la normale région par région dès ce week-end », a-t-il déclaré.
Cependant, il prévient que « ce n'est pas comme si on appuyait sur un interrupteur - cet oléoduc a une longueur de huit mille cinq cents kilomètres, il n'a jamais été fermé dans son histoire... cela va prendre un certain temps, et il peut y avoir quelques contretemps en cours de route ».
Le président Biden précise que les États-Unis n'accusent pas directement la Russie : « Nous ne pensons pas que le gouvernement russe soit impliqué dans cette attaque, mais nous avons de fortes raisons de croire que les criminels qui ont commis cette attaque vivent en Russie », dit-il. Mercredi, il a signé un décret visant à améliorer la cybersécurité nationale. La Maison-Blanche a spécifiquement cité Colonial Pipeline, le piratage de SolarWinds et les vulnérabilités du serveur Microsoft Exchange comme autant de défaillances d'infrastructures auxquelles le gouvernement espère remédier.
Sources : Tweet, AP
Et vous ?
Quel est votre commentaire sur ce sujet ? Quel est votre avis sur le versement de rançons aux pirates informatiques ? Y a-t-il des situations où un paiement peut être justifié ? Après paiement, Colonial aurait reçu un logiciel de restauration de son réseau qui n’a pas servi parce que trop lent. Quel commentaire en faites-vous ?Voir aussi :
Joe Biden publie un décret visant à renforcer les défenses américaines en matière de cybersécurité, après le piratage du Colonial Pipeline Colonial Pipeline utilisait une version vulnérable et obsolète de Microsoft Exchange, lorsqu'il a été la cible d'une attaque par ransomware Au moins 30 000 organisations US ont été piratées via des failles dans Microsoft Exchange, des correctifs ont été publiés mais l'attaque continuerait sur les serveurs non patchés Le Trésor américain victime de piratages informatiques soutenus par un gouvernement étranger, plusieurs autres agences gouvernementales et organisations privées seraient également touchées 
Envoyé par Stan Adkens
