Une attaque numérique sans précédent à St. Paul conduit le gouverneur à faire appel à la Garde nationale : jamais ces militaires n'avait été mobilisés pour une attaque municipale à l'intérieur des frontières

Une attaque numérique sans précédent à St. Paul conduit le gouverneur à faire appel à l'unité de cybersécurité de la Garde nationale :
jamais ces militaires n'avait été mobilisés pour une attaque municipale à l’intérieur des frontières

La ville de St. Paul, dans le Minnesota, est en état d'urgence suite à une cyberattaque massive qui a paralysé une grande partie de son infrastructure numérique. Face à l'ampleur de la situation, le gouverneur Tim Walz a pris la décision sans précédent de déployer la Garde nationale du Minnesota pour aider à la riposte. La situation, qualifiée « d'attaque numérique délibérée et coordonnée » par le maire Melvin Carter, a mis en lumière la vulnérabilité des systèmes municipaux face à des cyberacteurs sophistiqués.

Des attaques de pirates informatiques, dont beaucoup utilisent des ransomwares, frappent désormais les villes américaines tous les deux ou trois jours. Les mesures d'atténuation sont coûteuses et extrêmement perturbantes. Abilene, au Texas, par exemple, s'est fait voler 477 Go de données au printemps dernier. La ville a refusé de payer la rançon demandée et a décidé de remplacer tous les serveurs, ordinateurs de bureau, ordinateurs portables, téléphones de bureau et dispositifs de stockage. Cela a nécessité un « retour temporaire aux systèmes papier-crayon » tandis que l'ensemble du réseau municipal était en reconstruction, mais au moins Abilene était-elle assurée contre une telle attaque.

Parfois, cependant, les piratages frappent plus fort que d'habitude. La ville de St. Paul, capitale du Minnesota, a subi vendredi dernier une importante cyberattaque qu'elle n'a pas été en mesure d'atténuer. La situation s'est tellement détériorée que la ville a déclaré l'état d'urgence et que le gouverneur a fait appel à la Garde nationale.

Selon les remarques du maire de St. Paul, Melvin Carter, l'attaque a été remarquée tôt dans la matinée du vendredi 25 juillet. Il s'agissait, selon Carter, d'une « attaque numérique délibérée et coordonnée, menée par un acteur externe sophistiqué, qui visait intentionnellement et de manière criminelle l'infrastructure d'information de notre ville ».

La ville n'a pas réussi à stopper l'attaque pendant le week-end et a donc décidé lundi de « procéder à un arrêt complet de ses systèmes d'information à titre de mesure défensive pour contenir la menace ». Tous les réseaux Wi-Fi des bâtiments de la ville sont actuellement hors service et de nombreuses fonctions informatisées de la ville, y compris le retrait des livres à la bibliothèque, ont été interrompues. Les paiements en ligne à la ville ont été désactivés, mais les services d'urgence restent opérationnels.

Mobilisation d’ampleur : la Garde nationale cyber en renfort

Le FBI et deux sociétés nationales de cybersécurité ont été sollicités pour limiter l'attaque, mais cela n'a pas suffi. Le 29 juillet, le gouverneur du Minnesota, Tim Walz, a pris une décision exceptionnelle : activer des unités de la Garde nationale de l'État pour venir en aide à la ville, plus précisément l'unité spécialisée en cybersécurité.

« Malheureusement, l'ampleur et la complexité de cet incident ont dépassé les capacités de réponse internes et commerciales », a déclaré Walz. « Paul a donc demandé à la Garde nationale du Minnesota de lui apporter son soutien en matière de cyberprotection pour l'aider à faire face à cet incident et s'assurer que les services municipaux vitaux continuent d'être assurés sans interruption ».

Il s’agit d’une première historique pour l’État du Minnesota : jamais auparavant cette unité n’avait été mobilisée pour une attaque municipale à l’intérieur des frontières.


« Toutes les forces américaines doivent désormais supposer que leurs réseaux sont compromis », avertit un expert

Salt Typhoon est un acteur de menace persistante avancé. Les experts en cybersécurité occidentaux soupçonnent le groupe d'être dirigé par le ministère chinois de la Sécurité d'État (MSS). Salt Typhoon se spécialise dans l'espionnage informatique, en particulier contre des cibles aux États-Unis, comme : des agences gouvernementales, des infrastructures critiques (réseaux électriques, transports...), des entités militaires, des entreprises technologiques, etc.

Il a mené des attaques d'envergure contre les États-Unis. Ces dernières années, Salt Typhoon a infiltré des fournisseurs de télécommunications américains tels que AT&T, Verizon et T-Mobile pour surveiller des fonctionnaires américains, et des politiciens comme Donald Trump et Kamala Harris.

Un nouveau rapport du département américain de la Défense (DOD) révèle que le groupe a piraté de manière approfondie le réseau de la Garde nationale d'un État américain non nommé entre mars et décembre 2024. Selon le rapport, les pirates de Salt Typhoon ont collecté la configuration du réseau compromis et son trafic de données avec les réseaux de ses homologues dans tous les autres États américains et dans au moins quatre territoires américains.

Les données collectées comprenaient également les identifiants des administrateurs de ces réseaux et les schémas des réseaux, qui pourraient être utilisés pour faciliter les piratages ultérieurs de ces unités par Salt Typhoon. Le rapport, publié le 11 juin 2025, a été obtenu Property of the People, une organisation à but non lucratif œuvrant pour la transparence en matière de sécurité nationale, en vertu de la législation américaine sur la liberté d'information.

Une entreprise de 158 ans contrainte à la fermeture après une attaque par ransomware

En 2023, KNP exploitait 500 camions, la plupart sous la marque Knights of Old. L'entreprise affirmait que son système informatique était conforme aux normes industrielles et qu'elle avait souscrit une assurance contre les cyberattaques. Mais un groupe de pirates informatiques, connu sous le nom d'Akira, s'est introduit dans le système, verrouillant toutes les données opérationnelles de l'entreprise. Serveurs, sauvegardes et systèmes de reprise après sinistre ont tous été rendus inutilisables, paralysant entièrement les activités de la société. De plus, tous leurs terminaux avaient également été compromis, ce qui a été décrit comme le pire scénario possible.

Selon les pirates, le seul moyen de récupérer les données était de payer : « Si vous lisez ceci, cela signifie que l'infrastructure interne de votre entreprise est totalement ou partiellement hors service... Gardons nos larmes et notre ressentiment pour nous et essayons d'établir un dialogue constructif », pouvait-on lire dans la demande de rançon.

Les pirates n'ont pas fixé de prix, mais une société spécialisée dans la négociation de rançons a estimé que la somme pourrait s'élever à 5 millions de livres sterling, une somme que KNP n'était pas en mesure de payer. Malgré la souscription à une assurance contre les cyberattaques et l'assistance d'une équipe de gestion de crise cybernétique de Solace Global, l'entreprise n'a pas pu récupérer ses données ni satisfaire aux exigences des pirates.

Cette incapacité à récupérer ses systèmes et à honorer la rançon a conduit à l'effondrement définitif de Knights of Old, laissant derrière elle une histoire séculaire et de nombreux employés sans emploi.

Les attaques par ransomware ont augmenté de 30 %, la France faisant partie des pays observant une augmentation des attaques

Le dernier rapport sur les menaces de Deep Instinct montre que les attaques par ransomware augmentent de 30 %, sous l'effet du phishing alimenté par l'IA et des offres de Ransomware en tant que service (RaaS). Les conclusions du rapport révèlent également que les campagnes de phishing générées par l'IA ont gagné en efficacité grâce aux progrès des outils de reconnaissance et de génération de vidéos et de voix.

L'expansion des modèles de RaaS a quant à elle amplifié l'ampleur et la complexité de ces attaques, les secteurs de la santé et de la finance en faisant les frais. Le rapport montre comment les groupes de ransomware donnent la priorité aux secteurs qui gèrent des services critiques et des données sensibles, comme l'industrie de la santé, en tirant parti de l'urgence opérationnelle pour pousser les victimes à payer.

« Ce dernier rapport sur les menaces révèle que les cybercriminels ne ralentissent pas, avec des attaques pilotées par l'IA, des tactiques de ransomware avancées et des cyberopérations parrainées par des États qui poussent les organisations au bord du gouffre », déclare Yariv Fishman, CPO chez Deep Instinct. « Pour rester dans la course, les entreprises doivent aller au-delà du statu quo, des défenses réactives qui ont déçu à maintes reprises. L'ère de la détection et de la réponse est révolue - la sécurité préventive, alimentée par l'apprentissage profond, déterminera les gagnants de cette course aux armements cybernétiques. »

Les cyberattaques ont également augmenté en réponse aux tensions géopolitiques, en particulier dans les régions touchées par la guerre entre la Russie et l'Ukraine, le conflit entre Israël et le Hamas, et les tensions entre la Chine et Taïwan. En outre, les acteurs étatiques et les groupes d'hacktivistes continuent de tirer parti des cyberopérations pour perturber les infrastructures, diffuser des informations erronées et mener des activités d'espionnage.

Les États-Unis sont la principale cible des attaques par ransomware. Toutefois, on observe une évolution notable des ransomwares ciblant d'autres pays, comme la France, l'Italie et l'Autriche. Plusieurs familles de ransomwares sont apparues ou ont pris de l'importance en 2024, notamment LockBit 3.0, RansomHub et Akira. Au début de l'année, Akira avait à lui seul compromis plus de 250 organisations en Amérique du Nord, en Europe et en Australie, collectant plus de 42 millions de dollars en paiements de rançons.

Alors que la continuité des activités est essentielle en cas d’attaque, les entreprises manquent toujours de réactivité lorsqu’il s’agit de récupérer leurs données et de rétablir leurs processus opérationnels rapidement. Ainsi, la quasi-totalité des répondants français (97 %) indique qu’il leur faudrait plus de 24 heures pour récupérer leurs données et redémarrer leurs processus opérationnels en cas de cyberattaque ; pour 79 % d’entre eux, il faudrait plus de 4 jours, alors que plus d’un tiers (43 %) estime qu’un délai allant au-delà d’une semaine serait nécessaire.

Source : St Paul

Et vous ?

Quelle est la responsabilité d'une ville de garantir la sécurité de ses systèmes informatiques face à des menaces de plus en plus sophistiquées ?

Le déploiement des militaires de la Garde nationale en réponse à une cyberattaque crée-t-il un précédent pour d'autres villes ? Quels sont les avantages et les inconvénients de militariser la réponse aux crises numériques ?

Comment les petites et moyennes villes, qui n'ont pas les mêmes ressources que St. Paul, peuvent-elles se préparer efficacement à de telles menaces ?