Rançonnage : Colonial Pipeline et les vulnérabilités des infrastructures critiques


Par Binoy Kampmark – Le 12 mai 2021 – Source Oriental Review

Colonial pipeline
Des réservoirs de carburant à un point de livraison de Colonial Pipeline Co. lundi à Baltimore. L’oléoduc de la société a été victime d’une importante attaque par ransomware la semaine dernière.

Cela devrait faire trembler les officiels de la Maison Blanche. Une infrastructure critique fournissant 45 % du diesel, de l’essence et du carburant pour avion de la côte Est, laissée à la merci d’une opération de ransomware exécutée le 6 mai. Au cours de cette opération, 100 Go de données de Colonial Pipeline ont été saisis et cryptés sur des ordinateurs et des serveurs. Le lendemain, les responsables de l’opération ont exigé une rançon, faute de quoi le matériel serait divulgué.

Les conséquences sont éloquentes. L’opérateur mis hors ligne pour permettre la conduite d’une enquête par la société américaine de cybersécurité Mandiant ; du carburant laissé en rade dans les raffineries du Texas ; une flambée des prix à la pompe – plus six cents par gallon sur la semaine, à 2,967 dollars le gallon d’essence sans plomb. « À moins qu’ils ne règlent le problème d’ici mardi« , a prévenu Gaurav Sharma, analyste du marché pétrolier, « ils vont avoir de gros problèmes ». L’impact se ferait d’abord sentir à Atlanta, puis dans le Tennessee, perpétuant un effet domino jusqu’à New York. « C’est le plus grand impact sur le système énergétique des États-Unis que nous ayons vu lors d’une cyberattaque, point final », opine Rob Lee, de la société de cybersécurité Dragos.

La société, sur un ton peu convaincant, a publié une déclaration indiquant qu’elle « continuait à travailler avec des experts en cybersécurité, les forces de l’ordre et d’autres agences fédérales pour rétablir les opérations du pipeline rapidement et en toute sécurité. » Le président Joe Biden s’est empressé de calmer les craintes que cela ait compromis la sécurité du carburant. « Les agences du gouvernement ont agi rapidement pour atténuer tout impact sur notre approvisionnement en carburant. » La conseillère adjointe à la sécurité nationale pour la cybernétique et les technologies émergentes, Anne Neuberger, a déclaré à la presse que l’administration Biden « adoptait une réponse multidimensionnelle et pangouvernementale à cet incident et aux ransomwares en général ».

Le 9 mai, la Federal Motor Carrier Safety Administration du ministère des transports a publié une exemption temporaire des heures de service pour les transporteurs routiers et les conducteurs « transportant de l’essence, du diesel, du carburéacteur et d’autres produits pétroliers raffinés » dans les États concernés.

Trouver le coupable dans de telles opérations est presque ennuyeusement prévisible. Le Kremlin a tendance à figurer en tête de la liste des accusés, mais cette fois, l’intérêt s’est porté sur DarkSide plutôt que sur le président Vladimir Poutine. « Je vais rencontrer le président Poutine », a promis Biden, « et jusqu’à présent, rien ne prouve, d’après nos services de renseignement, que la Russie est impliquée. » Cela ne signifiait pas que les responsables russes allaient être épargnés par un examen minutieux. Il existe « des preuves que des acteurs de ransomware se trouve en Russie – ils ont une certaine responsabilité dans la gestion de ce problème ». DarkSide, en d’autres termes, est désigné comme un groupe de cybercriminels russes audacieux et entreprenant, qui va là où même les agents des services de renseignement ont peur de s’aventurer. Dans cette jungle de cybersécurité compromise, il y a de l’argent à gagner.

DarkSide, c’est la cybercriminalité avec un visage professionnel, des pirates et des boucaniers de l’Internet avec une certaine compréhension des relations publiques. Ils courtisent la presse quand ils en ont besoin. Ils opèrent même avec un code de conduite à l’esprit. Et ils sont expérimentés. « Notre objectif est de gagner de l’argent et non de créer des problèmes pour la société », a déploré le groupe après l’opération. « Nous ne participons pas au jeu géopolitique, ne voyons pas la nécessité de nous lier à un gouvernement défini et de chercher… nos motivations. » La firme a revendiqué l’ignorance qu’un de ses affiliés avait pris sur lui de cibler Colonial. « A partir d’aujourd’hui, nous introduisons la modération et vérifions chaque entreprise que nos partenaires veulent crypter pour éviter les conséquences sociales à l’avenir ».

Cet événement a révélé de manière révélatrice l’état des infrastructures critiques mal protégées gérées par des entreprises privées. « Lorsque ces entreprises sont attaquées », a remarqué la conseillère adjointe à la sécurité nationale Elizabeth Sherwood-Randall, « elles servent de première ligne de défense et nous dépendons de l’efficacité de leurs défenses ».

Comme l’a décrit l’analyste en sécurité Richard Stiennon, la décision de fermer l’oléoduc montre que Colonial a compris les risques. « D’un autre côté, elle montre que Colonial n’a pas une confiance totale dans les défenses de cybersécurité de ses systèmes opérationnels ». Colonial faisait de son mieux pour paraître compétente, décrivant qu’elle avait « mis hors ligne de manière proactive certains systèmes pour contenir la menace ».

Selon une interprétation moins généreuse, l’entreprise n’a jamais réellement pris la mesure de ces risques, en raison de systèmes de sauvegarde inadéquats ou de l’achat de logiciels présentant moins de vulnérabilités. L’entreprise a effectivement lancé une invitation ouverte à être prise pour cible, malgré les avertissements lancés début 2020 par l’agence de cybersécurité et de sécurité des infrastructures du ministère de la sécurité intérieure, qui a signalé qu’une attaque par ransomware avait eu lieu sur une installation de compression de gaz naturel basée aux États-Unis.

Le fournisseur n’a pas fait grand-chose pour éclaircir la façon dont il va faire face à la menace du ransomware. « Colonial est une entreprise privée et nous différons les informations concernant leur décision de payer une rançon », a déclaré Anne Neuberger, peu coopérative. Mme Neuberger a également évoqué la « tendance troublante […] à cibler des entreprises qui ont une assurance et qui peuvent être des cibles plus riches ». Il fallait en faire plus pour « déterminer ce que nous faisons, en plus de perturber activement les infrastructures et de tenir les auteurs responsables, pour nous assurer que nous n’encourageons pas le déploiement de ransomwares ».

L’administration Biden rédige actuellement un décret qui créera de nouvelles règles de sécurité numérique applicables aux agences fédérales et aux entrepreneurs qui développent des logiciels pour le gouvernement. Ceux qui développent les logiciels devront se conformer à des mesures de sécurité adéquates. Une couche de bureaucratie d’investigation est également envisagée : une commission d’examen des incidents de cybersécurité.

À tout le moins, les optimistes sur le terrain verront un intérêt à ce que les failles flagrantes des systèmes de sécurité soient exposées, même si elles concernent des infrastructures critiques. Les cyber-escrocs peuvent être transformés en citoyens constructifs, identifiant les vulnérabilités – moyennant un certain prix. Une meilleure option pour la direction des entreprises et la salle du conseil serait d’écouter les informaticiens.

Binoy Kampmark

Traduit par Hervé pour le Saker Francophone

   Envoyer l'article en PDF