IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Colonial Pipeline a payé une rançon de près de 5 millions de dollars à des pirates informatiques,
Pour recevoir un logiciel de déchiffrement qui n'aurait pas servi

Le , par Stan Adkens

22PARTAGES

10  0 
Colonial Pipeline aurait versé près de 5 millions de dollars en bitcoins au groupe de pirates qui l'a forcé à fermer ses systèmes de manière proactive, conduisant les automobilistes de certains États américains à se ruer sur les stations-service. Mais la société a fini par utiliser ses propres sauvegardes pour rétablir ses opérations, ce qui confirme qu’en matière de ransomware, on n'obtient pas toujours ce pour quoi on paie. En effet, le logiciel fourni par les cybercriminels pour rétablir les réseaux verrouillés était très "lent". D’un autre coté, plusieurs médias ont rapporté, plus tôt, que Colonial ne paiera pas la rançon demandée par le groupe de pirates russophones DarkSide.

La société américaine a payé la forte rançon en cryptomonnaie difficile à tracer dans les heures qui ont suivi l'attaque, le vendredi presque immédiatement après avoir détecté l'infection, soulignant l'immense pression à laquelle l'opérateur basé en Géorgie doit faire face pour que l'essence et le kérosène circulent à nouveau dans les grandes villes de la côte Est, ont déclaré des personnes au courant de la réponse à l’attaque. Une troisième personne au fait de la situation a déclaré que les responsables du gouvernement américain savent que Colonial a effectué le paiement.


Une fois qu'ils ont reçu le paiement, les pirates ont fourni à l'opérateur un outil de déchiffrement pour restaurer son réseau informatique désactivé. L'outil était si lent que la société a continué à utiliser ses propres sauvegardes pour aider à restaurer le système, a déclaré l'une des personnes au courant des efforts de la société.

Cette nouvelle est en contradiction avec des rapports publiés plus tôt cette semaine selon lesquels la société n'avait aucune intention de payer une rançon d'extorsion pour aider à restaurer le plus grand système d'oléoducs pour les produits pétroliers raffinés aux États-Unis, selon deux sources impliquées dans l’affaire. Les sources de CNN, par exemple, ont insisté sur le fait que Colonial Pipeline n'avait pas encore payé la rançon, et n'aurait probablement pas besoin de le faire, suggérant qu'il avait déjà « réussi à récupérer les données les plus importantes qui avaient été volées » avec l'aide du gouvernement américain.

La nouvelle est également un peu inquiétante en raison de la façon dont une rançon réussie pourrait encourager les pirates informatiques à l'avenir. Au fil des ans, nous avons entendu parler de petites entreprises et d'entités gouvernementales locales qui ont payé des rançons pour retrouver l'accès à leurs systèmes, mais il s'agit peut-être de l'un des exemples de ransomware les plus médiatisés à ce jour, et la nouvelle pourrait inspirer des imitateurs.

Les pirates, qui, selon le FBI, sont liés à un groupe appelé DarkSide, sont spécialisés dans l'extorsion numérique et seraient situés en Russie. Lundi, alors que l'achat panique d'essence faisait la une des journaux et que la Maison-Blanche s'en mêlait, DarkSide a publié une déclaration insistant sur le fait qu'il n'a jamais voulu faire un tel gâchis. « Notre objectif est de gagner de l'argent », peut-on lire dans la déclaration, « et non de créer des problèmes pour la société ». À l'avenir, le groupe a déclaré qu'il modifierait son approche du choix des cibles afin d'éviter les « conséquences sociales ».

DarkSide, selon son site Web, gagne de l'argent de différentes manières. Outre les ransomwares, il menace également de divulguer les données des entreprises à des tiers (y compris des vendeurs à découvert) à moins qu'un paiement supplémentaire ne soit effectué. Nicole Perlroth, célèbre journaliste spécialisée dans la cybersécurité, a confirmé que le paiement s'élevait à 75 bitcoins, bien qu'elle indique que le paiement a été effectué lundi, et non vendredi.


Dans un tweet, Perlroth a appuyé mardi un rapport d'expertise qui a indiqué que le « coupable le plus probable » au sein de l'infrastructure informatique de la société était la vulnérabilité des services Microsoft Exchange, bien qu'il y ait eu plusieurs autres problèmes que les chercheurs ont qualifiés de « manque général de sophistication en matière de cybersécurité ».

Payer la rançon aux auteurs d’une cyberattaque hautement médiatisée, un précédent peut-être dangereux

Le président Biden a également refusé de répondre à la question de savoir si Colonial Pipeline avait payé ses extorqueurs lors d'un point de presse jeudi. Il n'a pas exclu la possibilité que l'administration cible les pirates, un groupe de ransomware appelé DarkSide, par une frappe de représailles. Il a déclaré que les États-Unis prendraient « une mesure visant à perturber leur capacité à opérer ».

Un ransomware est un type de logiciel malveillant qui verrouille les fichiers d'une victime, que les attaquants promettent de déverrouiller contre un paiement. Jen Psaki, attachée de presse de la Maison-Blanche, a déclaré lors d'un autre point de presse : « Le FBI recommande de ne pas payer de rançon dans ces cas-là », car cela peut inciter les pirates à mener d'autres attaques. Elle a ajouté que « les entités ou entreprises du secteur privé vont prendre leurs propres décisions ».

Cependant, Anne Neuberger, la principale responsable de la cybersécurité à la Maison-Blanche, a refusé catégoriquement de dire si les entreprises devaient payer des cyberrançons lors d'un briefing en début de semaine. « Nous reconnaissons cependant que les entreprises sont souvent dans une position difficile si leurs données sont chiffrées et qu'elles n'ont pas de sauvegardes et ne peuvent pas récupérer les données », a-t-elle déclaré aux journalistes lundi.

Un expert en criminalistique numérique a suggéré que 5 millions de dollars n'est pas une somme particulièrement importante pour quelque chose comme ça : « La rançon est généralement de l'ordre de 25 à 35 millions de dollars pour une telle entreprise. Je pense que l'auteur de la menace a réalisé qu'il s'était trompé d'entreprise et a déclenché une réponse massive du gouvernement », a déclaré Ondrej Krehel, PDG de LIFARS. « C'est un cybercancer. Vous voulez mourir ou vous voulez vivre ? Ce n'est pas une situation où l'on peut attendre ».

Des pratiques de gestion de l'information "atroces" chez Colonial, selon un rapport d’audit

Un audit externe réalisé il y a trois ans chez Colonial, l'importante société de pipelines de la côte Est, a révélé des pratiques de gestion de l'information « atroces » et « un patchwork de systèmes mal connectés et sécurisés », a déclaré son auteur à l'Associated Press. « Nous avons trouvé des lacunes flagrantes et de gros problèmes », a déclaré Robert F. Smallwood, dont le cabinet de conseil iMERGE a remis un rapport de 89 pages en janvier 2018 après un audit de six mois. « Je veux dire qu'un élève de quatrième aurait pu pirater ce système ».

Si l'audit d'iMERGE n'était pas directement axé sur la cybersécurité, « nous avons trouvé de nombreux problèmes de sécurité, et cela a été mis dans le rapport ». Smallwood, associé d'iMERGE et directeur général de l'Institute for Information Governance, a déclaré avoir préparé un plan de 24 mois et de 1,3 million de dollars pour Colonial.

Les déclarations de Colonial mercredi suggèrent qu'il a peut-être tenu compte d'un certain nombre de recommandations de Smallwood. La société a déclaré que depuis 2017, elle a engagé quatre entreprises indépendantes pour des évaluations des risques de cybersécurité et a augmenté ses dépenses informatiques globales de plus de 50 %. Bien qu'elle n'ait pas précisé de montant, elle a dit avoir dépensé des dizaines de millions de dollars.

« Nous évaluons et améliorons constamment nos pratiques de sécurité, tant physiques que numériques », a déclaré la société privée de Géorgie en réponse aux questions de l'AP sur les conclusions de l'audit. Les sociétés qui ont travaillé sur la cybersécurité n’ont pat été nommées, mais une entreprise, Rausch Advisory Services, située à Atlanta près du siège de Colonial, a reconnu en faire partie. Le directeur de l'information de Colonial siège au conseil consultatif de Rausch.


En outre, Colonial affirme avoir mis en place une surveillance active et des systèmes de détection des menaces qui se chevauchent sur son réseau et avoir identifié l'attaque par ransomware « dès que nous en avons eu connaissance ». Colonial a déclaré que son réseau informatique est strictement séparé des systèmes de contrôle des pipelines, qui n'ont pas été touchés par le ransomware.

Mais Colonial n'a pas dit comment les pirates ont pénétré dans son réseau. Les autorités fédérales et les experts en cybersécurité ne manqueront pas d'examiner de près la vulnérabilité de son réseau à la compromission, afin de déterminer comment la cyberattaque la plus dévastatrice pour les infrastructures critiques américaines aurait pu être évitée.

Smallwood a également déclaré qu'il n'avait trouvé aucune formation de sensibilisation à la sécurité, qui apprend surtout aux employés à ne pas être victimes de phishing, la cause de plus de 90 % des cyberintrusions. Mais Colonial a déclaré que son régime de cybersécurité élargi comprend des campagnes régulières de simulation de phishing pour les employés.

Il n'est pas clair quelles parties du Colonial Pipeline étaient en danger : un porte-parole a laissé entendre que rien ne prouvait que les systèmes opérationnels de la société avaient été compromis ; CNN a fait dire mercredi à trois sources que le pipeline avait été fermé parce que son système de facturation était affecté, et que la société n'était pas sûre de pouvoir facturer correctement le carburant. Le reportage de Kim Zetter, journaliste spécialisée dans la cybersécurité, suggère que la décision était probablement plus compliquée que cela, car d'autres entités du système de distribution du pétrole craignaient également que le ransomware ne se propage à leurs ordinateurs.

Colonial a commencé à reprendre ses activités mercredi soir, et le président Biden a déclaré qu'il devrait « atteindre sa pleine capacité opérationnelle au moment où nous parlons » lors d'un briefing jeudi après-midi. Les approvisionnements en pétrole devraient connaître « un retour à la normale région par région dès ce week-end », a-t-il déclaré.

Cependant, il prévient que « ce n'est pas comme si on appuyait sur un interrupteur - cet oléoduc a une longueur de huit mille cinq cents kilomètres, il n'a jamais été fermé dans son histoire... cela va prendre un certain temps, et il peut y avoir quelques contretemps en cours de route ».

Le président Biden précise que les États-Unis n'accusent pas directement la Russie : « Nous ne pensons pas que le gouvernement russe soit impliqué dans cette attaque, mais nous avons de fortes raisons de croire que les criminels qui ont commis cette attaque vivent en Russie », dit-il. Mercredi, il a signé un décret visant à améliorer la cybersécurité nationale. La Maison-Blanche a spécifiquement cité Colonial Pipeline, le piratage de SolarWinds et les vulnérabilités du serveur Microsoft Exchange comme autant de défaillances d'infrastructures auxquelles le gouvernement espère remédier.

Sources : Tweet, AP

Et vous ?

Quel est votre commentaire sur ce sujet ?
Quel est votre avis sur le versement de rançons aux pirates informatiques ? Y a-t-il des situations où un paiement peut être justifié ?
Après paiement, Colonial aurait reçu un logiciel de restauration de son réseau qui n’a pas servi parce que trop lent. Quel commentaire en faites-vous ?

Voir aussi :

Joe Biden publie un décret visant à renforcer les défenses américaines en matière de cybersécurité, après le piratage du Colonial Pipeline
Colonial Pipeline utilisait une version vulnérable et obsolète de Microsoft Exchange, lorsqu'il a été la cible d'une attaque par ransomware
Au moins 30 000 organisations US ont été piratées via des failles dans Microsoft Exchange, des correctifs ont été publiés mais l'attaque continuerait sur les serveurs non patchés
Le Trésor américain victime de piratages informatiques soutenus par un gouvernement étranger, plusieurs autres agences gouvernementales et organisations privées seraient également touchées

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 20/05/2021 à 10:39
Le PDG de Colonial Pipeline explique pourquoi il a payé une rançon de 4,4 millions de dollars à des pirates informatiques,
« C'était la bonne chose à faire pour le pays »
Non! La bonne chose à faire est de ne pas connecter à internet des infrastructures vitales pour le pays.

Je viens d'avoir entre les mains le cahier des charges pour la réalisation de l'automation complète d'une station d'épuration. "Une station d'épuration", c'est à dire une "usine à merde" dont la fonction est de traiter les eaux usés de vos WC.

Et devinez quoi? Il est expressément précisé qu'aucune liaison externe n'est permise!

Pourquoi est-ce que certains prennent des mesures de sécurité pour les "usines à merde" alors que d'autres ne les prennent pas pour une centrale nucléaire???

Est-ce que, avant l'an 2000 et la généralisation d'internet, les pipelines fonctionnaient avec des gentils ouvriers qui livraient le pétrole en se promenant avec un sceau dans chaque main?
4  0 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 14/05/2021 à 14:09
De ce que j'ai pu lire de l'Associated Press, on peut dire que Colonial n'est pas trop à cheval sur la sécurité de son pipeline, qu'elle soit informatique ou physique. L'interlocuteur de chez Colonial dit avoir dépensé des millions de dollars dans la sécurité mais ils n'ont toujours pas de RSSI et que la fonction est occupée par une subalterne du DSI. Le RSSI ne doit avoir qu'un supérieur dans une boîte comme celle-ci : le PDG. Parce-que dépendre de la DSI met en conflit avec d'autres responsabilités qui font que les serveurs Exchange ne sont pas patchés.
2  0 
Avatar de AoCannaille
Expert confirmé https://www.developpez.com
Le 08/06/2021 à 13:39
Citation Envoyé par Stan Adkens Voir le message
Quel commentaire faites-vous de l’opération du FBI pour saisir de la rançon payée par Coloniale ?
Je dirais juste qu'ils n'ont pas fait ça quand ces ransomware touchaient les SI des hopitaux...
2  0 
Avatar de redcurve
Membre extrêmement actif https://www.developpez.com
Le 16/05/2021 à 10:38
Citation Envoyé par marsupial Voir le message
De ce que j'ai pu lire de l'Associated Press, on peut dire que Colonial n'est pas trop à cheval sur la sécurité de son pipeline, qu'elle soit informatique ou physique. L'interlocuteur de chez Colonial dit avoir dépensé des millions de dollars dans la sécurité mais ils n'ont toujours pas de RSSI et que la fonction est occupée par une subalterne du DSI. Le RSSI ne doit avoir qu'un supérieur dans une boîte comme celle-ci : le PDG. Parce-que dépendre de la DSI met en conflit avec d'autres responsabilités qui font que les serveurs Exchange ne sont pas patchés.
Dans la plupart des boites les serveurs ne sont pas patchés, ni les postes utilisateur, ni les routeurs etc. malheureusement.
0  0 
Avatar de Arya Nawel
Membre extrêmement actif https://www.developpez.com
Le 17/05/2021 à 11:02
Pas de bol pour celui qui va hériter du poste
0  0 
Avatar de ormond94470
Membre actif https://www.developpez.com
Le 18/05/2021 à 20:41
Ils ont eu la rançon, plusieurs millions, ils se font oublier quelques temps, tu vis comme un roi quand tu passes du dollars au rouble... Qui va croire leur histoire de pression us...
0  0 
Avatar de marsupial
Expert éminent https://www.developpez.com
Le 19/05/2021 à 15:46
Business particulièrement lucratif et on s'étonne de voir autant d'attaques chaque jour.
0  0 
Avatar de
https://www.developpez.com
Le 19/05/2021 à 16:52
Je pensais naïvement que les pirates qui trempent dans ce genre de business étaient suffisamment malins pour ne pas s'en prendre à des entités ayant leurs entrées dans les agences de renseignement US. Ça n'est visiblement pas le cas.
0  0 
Avatar de smarties
Expert confirmé https://www.developpez.com
Le 20/05/2021 à 10:10
Déjà, pour augmenter la sécurité au niveau des utilisateurs des bureaux, je mettrais une politique stricte et restreindrais les accès Windows car l'utilisateur lambda fait moyennement attention.
Je trouve aussi les partages réseaux dangereux car le poste client peut modifier directement les fichiers depuis sont poste.

L'idéal serait même d'avoir le majorité des postes utilisateurs Linux.
Peut être une suite type OnlyOffice pour restreindre les moyens d'accès/modification du document (donc via navigateur).
0  0 
Avatar de kain_tn
Expert éminent https://www.developpez.com
Le 08/06/2021 à 12:41
Citation Envoyé par Stan Adkens Voir le message

« Les extorqueurs ne verront jamais cet argent », a déclaré Stephanie Hinds, procureur américain par intérim pour le District Nord de la Californie, lors de la conférence de presse au ministère de la Justice lundi. « Les nouvelles
technologies financières qui tentent d'anonymiser les paiements
ne fourniront pas un rideau derrière lequel les criminels seront autorisés à faire les poches des Américains qui travaillent dur ».
Il faut arrêter de propager ce genre d'idées. On n'est pas anonyme en utilisant une blockchain.

Citation Envoyé par Stan Adkens Voir le message

Quel commentaire faites-vous de l’opération du FBI pour saisir de la rançon payée par Coloniale ?
Ah ça quand on s'en prend au pétrole, les états sortent les moyens.

Citation Envoyé par Stan Adkens Voir le message

Le FBI dit avoir été aidé par la "clé privée" d’une adresse spécifique où les bitcoins avaient été transférés. Qu’en pensez-vous ?
Soit ils l'ont récupérée physiquement (backdoor ou attaque physique), soit ils ont les moyens de casser le chiffrement actuel au niveau militaire - ce qui ne serait pas forcément étonnant. La conséquence si la dernière option était avérée par contre ce serait que le chiffrement actuel (HTTPS, VPN, etc) ne vaudrait plus tripette...

Une dernière possibilité (mais là ce serait gros) ce serait qu'ils aient organisé l'attaque ou infiltré le groupe qui l'a perpétrée, pour blâmer d'autres pays, ce qui expliquerait qu'ils aient des clés privées.

Citation Envoyé par Stan Adkens Voir le message

Le FBI possède-t-il un moyen secret d'infiltrer les portefeuilles bitcoin et de récupérer leur contenu, selon vous ?
0  0