Selon des rapports la semaine dernière, Colonial Pipeline aurait payé une rançon de près de 5 millions de dollars, une nouvelle surprenante – non pas pour la somme versée, mais parce que le paiement de rançons aux cybercriminels est mal vu par les agences fédérales américaines d'application de la loi. Si le paiement est confirmé, le montant est un peu différent. Le PDG du plus grand réseau américain de pipeline de produits pétroliers, Joseph Blount, a confirmé que sa société avait effectivement versé 4,4 millions de dollars aux pirates informatiques responsables de l'attaque par ransomware de l’oléoduc qui transporte environ 45 % du carburant utilisé sur la côte Est. La cyberattaque contre Colonial – qui a été révélée à l'aube du 7 mai lorsqu'un employé a trouvé une demande de rançon de la part des cybercriminels sur un ordinateur de la salle de contrôle – a été attribuée par les autorités américaines à une bande de pirates informatiques qui opèrent avec le ransomware DarkSide. Le groupe russophone, qui serait basé en Europe de l'Est, se spécialise dans l'élaboration des logiciels malveillants utilisés pour pénétrer dans les systèmes et les met à la disposition de ses affiliés, en échange d'une partie des rançons obtenues.
La situation avec Colonial Pipeline était d’autant plus compliquée que Colonial Pipeline elle-même est responsable de la fermeture de son réseau de transport. Selon Blount, les systèmes opérationnels de la société n'ont pas été directement touchés, mais elle a mis hors service l'infrastructure énergétique critique afin de pouvoir déterminer jusqu'où les pirates ont pu pénétrer dans son système. Avant la confirmation mercredi, CNN et la journaliste Kim Zetter, spécialiste de la cybersécurité, avaient suggéré que les pirates avaient spécifiquement accès au système de facturation de la société, plutôt que de contrôler directement le pipeline lui-même.
Le PDG de Colonial Pipeline dit avoir autorisé le paiement de la rançon, d'un montant de 4,4 millions de dollars, parce que les dirigeants n'étaient pas sûrs de la gravité de la cyberattaque qui avait porté atteinte à ses systèmes ni du temps qu'il faudrait pour remettre le pipeline en état. Blount a reconnu publiquement qu'il s'agissait d'une option qu'il estimait devoir utiliser, compte tenu des enjeux liés à la fermeture d'une infrastructure énergétique aussi essentielle.
« Je sais que c'est une décision très controversée », a déclaré Blount dans ses premières remarques publiques depuis le piratage informatique. « Je ne l'ai pas prise à la légère. J'admets que je n'étais pas à l'aise de voir de l'argent partir vers des gens comme ça ». Il poursuit en disant que « c'était la bonne chose à faire pour le pays ».
« Cette décision n'a pas été prise à la légère », mais elle devait être prise, a déclaré un porte-parole de la société. « Des dizaines de millions d'Américains comptent sur Colonial – les hôpitaux, les services médicaux d'urgence, les forces de l'ordre, les services d'incendie, les aéroports, les chauffeurs routiers et les voyageurs ».
Un ransomware est un type de code qui prend les systèmes informatiques en otage et exige un paiement pour débloquer les fichiers. Depuis des années, le FBI conseille aux entreprises de ne pas payer lorsqu'elles sont touchées et font face à une demande de rançon. Selon les autorités, cela reviendrait à soutenir un marché criminel en plein essor. Cependant, de nombreuses entreprises, municipalités et autres entités affaiblies par les attaques paient, estimant que c'est le seul moyen d'éviter des perturbations coûteuses de leurs activités. Mais certaines ont refusé de se soumettre aux exigences de paiement des cybercriminels pour récupérer leurs dossiers.
Suite au paiement, la société aurait reçu un logiciel de déchiffrement pour déverrouiller les systèmes dans lesquels les pirates ont pénétré. Si cet outil s'est avéré d'une certaine utilité, il n'a finalement pas suffi à rétablir immédiatement les systèmes du pipeline, ont rapporté la semaine dernière des personnes informées de la réponse de Colonial à l’attaque.
L'oléoduc a été fermé pendant six jours, mais Colonial a fini par le remettre en service il y a une semaine. Cependant, il a fallu du temps pour reprendre un programme de livraison complet, et la panique des achats a entraîné des pénuries d'essence. Selon Gasbuddy.com, qui suit les prix des carburants et les pannes dans les stations-service, plus de 9 500 stations-service étaient en rupture de stock mercredi, dont la moitié à Washington et 40 % en Caroline du Nord.
Le choix impossible dont font face les victimes d'attaques par ransomware
La crise a été un test de leadership pour Blount qui dirige l'entreprise depuis 2017. Il avait cofondé en 2013 la société de pipeline Century Midstream LLC, financée par des fonds d'investissement privés, après avoir travaillé comme cadre et occupé d'autres fonctions dans des entreprises du secteur de l'énergie au cours d'une carrière de près de 40 ans. Au cours des cinq dernières années, Blount a déclaré que Colonial a investi environ 1,5 milliard de dollars dans le maintien de l'intégrité de son réseau de pipelines de 5 500 miles, et a dépensé 200 millions de dollars en informatique.
Pour Blount, la cyberattaque s'apparente aux ouragans de la côte du golfe du Mexique qui obligent souvent à fermer des segments de pipelines et de raffineries pendant des jours ou des semaines. Cependant, elle a été, à certains égards, plus dévastatrice. Colonial Pipeline n'avait encore jamais été fermé d'un seul coup, a-t-il déclaré.
Pendant que Colonial fermait le pipeline, les employés ont reçu l'ordre de ne pas se connecter au réseau de l'entreprise, et les dirigeants ont passé une série d'appels téléphoniques aux autorités fédérales, en commençant par les bureaux du FBI à Atlanta et à San Francisco, ainsi qu'un représentant de la Cybersecurity and Infrastructure Security Agency, ou CISA, a déclaré Blount. Les responsables de la CISA ont confirmé que des représentants de Colonial les ont informés du piratage peu après que l'incident se soit produit.
Au cours des jours suivants, le département de l'Energie a fait office de canal par lequel Colonial a pu fournir des mises à jour aux multiples agences fédérales impliquées dans la réponse, a déclaré Blount. La secrétaire d'État à l'énergie, Jennifer Granholm, et le secrétaire adjoint, David Turk, sont restés en contact régulier avec la société, en partie pour « obtenir des informations afin de guider la réponse fédérale », a déclaré le porte-parole du département de l'Energie, Kevin Liao.
Colonial a fait appel au groupe de cybersécurité FireEye pour l'aider à enquêter et à réagir au piratage. Sandra Joyce, vice-présidente exécutive de Mandiant Threat Intelligence de FireEye, a souligné le choix impossible qui s'offre aux victimes d'attaques par ransomware, qui, au cours de l'année écoulée, ont concerné de plus en plus d'organisations critiques telles que des administrations municipales, des écoles et des hôpitaux.
« Les ransomwares placent les organisations dans une situation impossible », a déclaré Joyce. « Si vous êtes un hôpital victime d'un ransomware et qu'ils demandent une certaine somme d'argent généralement en cryptomonnaie, alors vous avez le choix entre traiter vos patients ou ne pas les traiter, et personne ne devrait jamais être dans cette situation et c'est exactement ce à quoi les organisations sont confrontées ». « Est-ce que je laisse toutes mes données clients se répandre, est-ce que je libère mon code source dans la nature ? », a ajouté Joyce.
Bien que le flux de carburant du pipeline soit revenu à la normale, l'impact du piratage ne s'est pas arrêté au paiement de la rançon. Il faudra des mois de travaux de restauration pour récupérer certains systèmes commerciaux, ce qui coûtera finalement des dizaines de millions de dollars à Colonial, a déclaré Blount, notant que la société n'est toujours pas en mesure de facturer ses clients à la suite d'une panne de ce système.
Une autre perte coûteuse, a noté Blount, a été le niveau d'anonymat préféré de la société. « Nous étions parfaitement heureux que personne ne sache qui était Colonial Pipeline, et malheureusement ce n'est plus le cas », a-t-il dit. « Tout le monde dans le monde le sait ».
Les pirates informatiques responsables de l'attaque contre Colonial se sont étrangement excusés que leur ransomware ait causé autant de problèmes, même s'ils ont finalement obtenu ce qu'ils voulaient. « Notre objectif est de gagner de l'argent et non de créer des problèmes pour la société », a écrit le groupe dans une déclaration. Malgré tout, des pénuries de carburant ont suivi.
Selon une annonce publiée par les acteurs derrière DarkSide il y a une semaine et qui a été examinée par les sociétés de cybersécurité Intel 471 et Recorded Future, le groupe dit avoir perdu accès à son infrastructure publique, y compris le blog du groupe, qui est hors service depuis jeudi dernier, son serveur de paiement, qui recevait des fonds en cryptomonnaies de la part des victimes, et le réseau de diffusion de contenu (CDN) des données volées. « Il y a quelques heures, nous avons perdu l'accès à la partie publique de notre infrastructure », ont-ils dit dans leur message. Le groupe dit avoir cessé ses activités, mais les experts pensent que c'est une stratégie pour se faire oublier pendant un temps avant d'attaquer à nouveau.
Au lieu de payer les rançons, un commentateur propose qu’« Il serait beaucoup moins coûteux d'effectuer des sauvegardes régulières avec un stockage hors réseau et/ou de s'appuyer davantage sur l'intranet pour les programmes critiques ». Mais un autre répond en disant : « Aujourd'hui, la plupart des ransomwares sont des bots dormants qui restent sur le réseau pendant des semaines ou des mois avant de s'activer. Les sauvegardes sont inutiles, car vous ne savez pas jusqu'où remonter. Dans une grande organisation, une restauration de plus de quelques jours est catastrophique ». Et vous, qu’en pensez-vous ?
Et vous ?
Qu’en pensez-vous ? Colonial a payé la rançon, mais la société n'est toujours pas en mesure d’utiliser l’ensemble de ses systèmes. Faut-il verser des rançons aux pirates informatiques ? Comment les organisations devraient-elles se prémunir contre les attaques par ransomware ?Voir aussi :
Les acteurs du ransomware Darkside ont cessé leurs activités, affirmant que leur infrastructure publique a été perturbée par un organisme d'application de la loi non spécifié Les pirates derrière la récente attaque de ransomware Colonial Pipeline ont reçu un total de 90 millions de dollars, en paiements de rançons Bitcoin avant d'arrêter leurs activités Colonial Pipeline a payé une rançon de près de 5 millions de dollars à des pirates informatiques, pour recevoir un logiciel de déchiffrement qui n'aurait pas servi Une seconde ville de Floride décide de payer les hackers après une attaque de ransomware. En deux semaines la Floride a payé 1,1 million de dollars 
Envoyé par Stan Adkens
