L’Iran vient à peine de se remettre d’une gigantesque cyberattaques qui a perturbé la distribution de l’essence, ravivant le souvenir de l’une des pires crises de la disponibilité des carburants, vécue par les Etats Unis, suite à une attaque informatique qui a paralysé, le 7 mai dernier, le pipeline de la société Colonial Pipeline, reliant le Texas à New York.
Les dirigeants de la société ont admis avoir payé une rançon pour éviter une grosse pénurie de produits pétroliers.
Les analystes redoutent que le pire soit encore à venir et alertent sur les nouvelles dimensions données par cette nouvelle affaire au phénomène du racket informatique.
Dès qu’il a été informé de la survenue de l’attaque, le 7 mai, à 5h30 du matin, Joseph Blount, le patron de Colonial Pipeline a vite fait le tour de la question en mettant dans la balance les intérêts de son entreprise, de ses nombreux clients et de l’économie pétrolière américaine ; sans aucune hésitation il a procédé au paiement de la rançon exigée par les auteurs d de l’attaque ; « Joseph Blount, PDG de l’entreprise Colonial Pipeline, victime d’un rançongiciel le 7 mai, a reconnu au cours d’une interview au Wall Street Journal le 19 mai avoir réglé une rançon de 4,4 millions de dollars.
Une décision difficile, mais que le PDG assume », rapporte le site d’information français siecledigital.fr, dans une édition du 21 mai dernier.
Malgré la position du gouvernement américain, similaire à celle de la France qui s’est toujours déclaré opposée au paiement des rançons, Blount a outrepassé le cadre officiel et admis avoir pris une ‘'décision controversée’', tout en justifiant sa « décision par l’impact de l’attaque sur l’approvisionnement en carburant de la côte Est des États-Unis », explique ce même site.
Il est vrai que la société est propriétaire d’un oléoduc long de plus de 8000 kilomètres, qui relie le Golfe du Mexique à la côte est des Etats Unis : « Il transporte essence, diesel, kérosène et autres produits raffinés soit environ 45% du carburant de la côte Est.
260 points de livraisons et 13 États, plus Washington D.C., y sont reliés » détaille siecledigital.fr qui avance comme éléments d’explication de la décision de payer la rançon, le fait que le «pipeline a dû fermer durant six jours, ce qui a provoqué la plus haute hausse des prix du carburant depuis 6 ans et a amputé le stock de barils de la côte Est de 4,6 millions de barils.»
Du côté de la Maison Blanche, une responsable à la Sécurité nationale a indiqué qu’aucune consigne particulière n’a été émise à destination de Colonial Pipeline, expliquant « qu’il était parfois difficile de refuser de payer, lorsque les entreprises n’ont pas de fichiers de sauvegarde », relève ce site.
Le gouvernement américain a dû intervenir en urgence, notamment en autorisant le transport des produits pétroliers par voie terrestre, afin de parer à toute situation de pénurie.
De leur côté, les pirates qui ont empêché les 75 bitcoins, soit l’équivalent des 4, 5 millions de dollars ont effectivement transmis les clés de déchiffrage des systèmes bloqués, puis annoncé la dissolution de leur fameux groupe DarkSide.
L’entreprise ciblée a certes repris son activité mais elle doit encore patienter pour espérer retrouver toute la plénitude de ses moyens informatiques dont l’entretien et le nettoyage nécessiteront beaucoup de temps encore. L’attaque n’a pas durant longtemps et n’a affecté que partiellement la distribution des carburants sur la côte est des Etats Unis, mais elle aura servi attirer l’attention sur le fait que “Les cybercriminels représentent une vaste menace pour l’infrastructure vieillissante et vulnérable” du pays, comme l’a mis en exergue le Wall Street Journal.
Dans les tréfonds d’un monde opaque
L’affaire de l’attaque de la société pétrolière américaine n’a pas encore livré tous ses secrets, et les experts sont enclins à considérer que la disparition du groupe DarkSide n’est pas une réalité acquise.
Comme à chaque attaque informatique de grande envergure, les regards se tournent vers les pays de l’Europe de l’Est, particulièrement la Russie, réputée pour ses bidouilleurs informatiques mobilisés au service du gouvernement fédéral.
Plus prudent que son prédécesseur, l’actuel président américain est resté très réservé sur l’origine géographique de ce groupe.
En effet, les analystes sont très circonspects et ne s’avancent sur aucune piste : « «Le niveau de détail, l'effort, la planification et le temps que le groupe a entrepris, non seulement en créant le ransomware lui-même, mais en prenant le temps de noter quelles données ont été volées, leur quantité et ce qu'elles contenaient, leur mode de gestion et la façon de faire honte aux victimes souligne à quel point il s'agit du travail d'une organisation disposant de ressources et de temps considérables », analyse Fortinet, une société multinationale américaine spécialisée dans les équipements et services de cyber sécurité, citée par le site français lemondeinformatique.fr, dans un article daté du 18 mai dernier qui ajoute pour sa part : « De là à penser que la puissance d'un Etat-Nation comme la Russie est mobilisée derrière cet opérateur, il n'y a qu'un pas qui ne peut - pourra jamais ? - être cependant franchi tant l'attribution s'avère compliquée à établir.»
Sur le paiement d’une rançon par la société Colonial Pipeline, certains analystes tentent de décortiquer la nébuleuse de ce monde des acteurs du rançongiciel, et particulièrement ce groupe DarkSide qui semble agir en plateforme, au service d’autres pirates qui peuvent bénéficier de son savoir-faire et de ses services : « Des chercheurs en sécurité d’ Elliptic, basé à Londres, ont identifié le portefeuille numérique Bitcoin utilisé par DarkSide pour extraire des rançons de leurs victimes », rapporte le site www.silicon.fr, dans une nouvelle insérée le 21 mai dernier ajoutant que d’après ces mêmes experts, « les exploitants de DarkSide avaient encaissé au moins 90 millions de dollars en paiement de rançon bitcoin provenant de diverses victimes.»
Les auteurs de l’attaque contre l’oléoduc de la côte est américaine ont par ailleurs revendiqué avoir agi, sur ce coup, dans le seul but de se faire de l’argent et rejeté toute filiation à un gouvernement ou à une sphère géopolitique quelconque.
Ceci n’a pas empêché certains observateurs de pointer comme d’habitude une provenance russe.
Quant à l’annonce de la dissolution de DarkSide, il y en a qui se sont autorisés à deviner une ruse des pirates pour ne pas avoir à s’acquitter de leurs obligations financières avec d’éventuels sous-traitants.
En effet, comme le rappelle le site siecledigtal.fr, « DarkSide, ainsi que ses associés, ont ainsi engrangé 90 millions en bitcoins, 15,5 millions de dollars sont allés au développeur de DarkSide, tandis que 74,7 millions de dollars ont été versés à ses affiliés », écrit-il dans un papier du 21 mai dernier, en précisant que « les cybercriminels privilégient les cryptomonnaies, et particulièrement les bitcoins, car les personnes effectuant les transactions n’ont pas besoin de révéler leur identité.»
L’hôpital, une cible de choix à l’ère de la pandémie
Sollicités de toutes parts pour faire face à la grave crise sanitaire mondiale induite par la pandémie de coronavirus, les services sanitaires et hospitaliers n’en ont pas moins constitué une cible de choix pour les pirates informatiques assurés d’obtenir des suites favorables à leurs menaces.
Tout récemment les systèmes d’information des services de santé irlandais ont subi une impressionnante attaque informatique : « Le service de santé irlandais, le HSE, a dû déconnecter tout son parc informatique.
Les pirates semblent avoir volé des données de tous les hôpitaux du pays », rapporte le site web de la radio française rfi.fr, dans un papier mis en ligne le 14 mai dernier.
Les responsables irlandais ont fait état d’une attaque d’une ampleur jamais vue, et dû déconnecter leur parc informatique pour éviter de laisser faire les pirates qui semblent avoir pu subtiliser une quantité importante de données, sans néanmoins demander de rançon.
Les liaisons informatiques ont été débranchées durant toute une nuit, obligeants différents services hospitaliers à déprogrammer leurs interventions et à décaler les rendez de leurs patients ; «Par précaution, nous avons arrêté tous nos systèmes informatiques afin de les protéger de cette attaque et de nous permettre d'évaluer pleinement la situation avec nos propres partenaires de sécurité », a indiqué dans un tweet, l’organisme de santé irlandais repris par le site de la radio française qui explique que, du fait de cette attaque, « il était impossible d’accéder aux dossiers des patients.
Par exemple, les malades qui devaient connaître ce vendredi le résultat d’une radio ou d’un scanner, dans les services d’oncologie en particulier, devront attendre.
Partout, il faut repasser au papier et au crayon, ce qui ralentit les consultations », ajoute-t-il.
Des hôpitaux français ont également été pris pour cibles par des attaques aux rançongiciels qui ont fortement perturbé le fonctionnement de leurs services : « Après l'hôpital de Dax, dans le sud-ouest de la France la semaine dernière, c'est celui de Villefranche-sur-Saône, dans le centre-est, qui est victime d'une cyberattaque détectée lundi 15 février », avance le site rfi.fr dans un autre papier du 17 février dernier, ajoutant que l’ensemble des « interventions chirurgicales prévues mardi ont dû être reportées et les personnes qui font appel aux urgences sont orientées vers d'autres établissements.» Le site de la radio française a par ailleurs fait état de l’avertissement lancé par l’agence de sécurité des systèmes d’information française, selon laquelle, « depuis le début de la crise du Covid-19, les établissements liés au secteur de la santé sont devenus une cible de choix ».
Le rédacteur de l’article se réfère à des attaques similaires enregistrées aux Etats Unis, où des « hôpitaux américains ont reconnu avoir cédé à la pression pour retrouver un fonctionnement normal », observe-t-il, en expliquant que « si les attaques contre des établissements de santé sont si nombreuses ces derniers mois à travers le monde, c'est qu'elles sont rentables pour les hackers.»