Aux États-Unis, l'arrêt du fonctionnement des gros pipelines de distribution de carburant pourrait engendrer une pénurie dans certaines régions. © Colonial Pipeline
Tech

Cyberattaque du pipeline aux États-Unis : les auteurs du ransomware s’excusent !

ActualitéClassé sous :cybersécurité , ransomware , Cyber risque

-

[EN VIDÉO] Qu'est-ce qu'une cyberattaque ?  Avec le développement d'Internet et du cloud, les cyberattaques sont de plus en plus fréquentes et perfectionnées. Qui est derrière ces attaques et dans quel but ? Quelles sont les méthodes des hackers et quelles sont les cyberattaques les plus massives ? 

Le groupe auteur du ransomware qui a visé le réseau de carburants de l'est américain se confond en excuses pour les conséquences sociales engendrées par la cyberattaque. Il souligne que leur objectif est simplement de faire de l'argent, mais pas d'intervenir sur la géopolitique.

À la fin de la semaine dernière, aux États-Unis, le système informatique de gestion des oléoducs de distribution de carburant raffiné était partiellement paralysé par un ransomware. Futura expliquait alors que l'attaque d'un secteur sensible comme celui du carburant était susceptible d'orienter son attribution vers des groupes de pirates affiliés à un État-nation. Identifiée dès hier par le FBI comme provenant du jeune groupe de pirates DarkSide, la charge virale a entraîné à la fois une hausse des cours du pétrole et une crainte de pénurie de carburant dans plusieurs régions. Une fois n'est pas coutume, le groupe auteur de ce ransomware s'est confondu en excuses sur le darknet, en raison des conséquences sociales engendrées par celui-ci.

Les auteurs ont expliqué que leur objectif est de gagner de l'argent et non pas de causer des problèmes de société. DarkSide ajoute qu'ils ne sont en aucun cas liés à un État, sont apolitiques et ne s'intéressent pas à la géopolitique. Effectivement, pour ce qui est de la collecte de rançons, habituellement, leurs montants se situent sur une fourchette allant de 200.000 et 2 millions de dollars. Ils emploient un système de double extorsion bien rôdé qui consiste à menacer de rendre publiques les données collectées si la victime ne règle pas la rançon.

Un groupe de cybercriminels ayant une éthique

Par ailleurs, DarkSide aurait véritablement mis en place un code éthique interdisant les attaques contre les hôpitaux, les écoles, les universités, les organisations à but non lucratif et les agences gouvernementales. Le groupe a même proposé des dons de 20.000 dollars à plusieurs organisations caritatives. Celles-ci les ont refusés en raison de la provenance des fonds.

Enfin, si ce ransomware qui circule depuis août 2020 provient bien de DarkSide, ce n'est pas forcément ce groupe qui l'a déployé pour viser la Colonial Pipeline. Le groupe vend son ransomware à d'autres groupes de hackers et il n'a pas le contrôle dessus. Il a d'ailleurs expliqué qu'il ferait désormais plus attention aux intentions de ses clients. Reste que si DarkSide n'est pas lié à un État-nation, son ransomware cible majoritairement les pays anglophones et évite de viser les pays associés aux anciennes nations du bloc soviétique russophones.

Pour en savoir plus

États-Unis : une cyberattaque impacte un oléoduc et menace d’une pénurie de carburant

Article de Louis Neveu, publié le 9/05/2021

C'est la plus grosse cyberattaque contre une infrastructure américaine. Elle touche Colonial Pipeline, le plus gros opérateur d'oléoducs de distribution de carburant raffiné aux États-Unis. L'opérateur a dû couper ses lignes principales car ses systèmes sont neutralisés par un ransomware. Certaines régions pourraient connaître une pénurie de carburant.

Après la cyberattaque massive envers SolarWinds visant à mener des opérations de cyberespionnage, la prise de contrôle d'une infrastructure vitale, comme celle d'une unité de traitement de l’eau, voici que ce sont maintenant les oléoducs de carburant aux États-Unis qui sont ciblés. Ces attaques ont toutes en commun de viser des secteurs stratégiques ou critiques. Cette fois, c'est le plus grand opérateur d'oléoducs, Colonial Pipeline qui a été victime des hackers. Ses 8.800 km de conduites acheminent du carburant raffiné (essence, diesel, kérosène) sur tout le territoire américain. C'est cet opérateur qui fournit 45 % du carburant de la côte Est. Et cette fois, la cyberattaque a eu un impact massif immédiat puisque, lorsqu'elle a été identifiée, l'opérateur a mis hors service plusieurs services essentiels pour atténuer son ampleur. Il ne s'agissait pas cette fois de prendre le contrôle du dispositif ou d'espionner, mais sans doute de neutraliser les installations avec un ransomware qui a chiffré les systèmes de l'opérateur.

Colonial Pipeline Company relie les raffineries aux clients et aux marchés du sud et de l'est des États-Unis avec un réseau de pipelines qui s'étend sur plus de 8.800 km entre Houston, dans l'État du Texas, et Linden, au nord, dans le l'État du New Jersey. © Colonial Pipeline Company

Une attaque en attente d’attribution

C'est, à ce jour, l'attaque directe la plus importante ciblant un secteur sensible des États-Unis. Elle pourrait engendrer une pénurie de carburant dans plusieurs États du centre et du sud-est du pays selon les déclarations d'un expert auprès de l'AFP. D'après lui, tout va dépendre de la durée de l'arrêt des systèmes. Si elle dépasse les cinq jours, la pénurie va toucher les stations-services et les aéroports régionaux. Cet arrêt commence déjà à avoir des répercutions sur les cours du pétrole en les augmentant. En attendant, Colonial Pipeline est en train de rouvrir ses canaux de distribution et exploite ses lignes secondaires pour remplacer les principales qui restent fermées.

Pour le moment, personne ne s'est encore aventuré à attribuer officiellement l'attaque. Selon les informations de Reuters, il s'agirait d'un groupe de hackers récent, mais très organisé appelé DarkSide. Ce groupe pratique la double extorsion avec une exfiltration des données, puis la menace de les rendre publiques. Sur ses autres attaques, DarkSide cherche habituellement à compromette le contrôleur de domaine, autrement dit, le centre névralgique du réseau. Ensuite, il se déplace dans le réseau avant de déclencher sa charge et de générer l'impact le plus large possible.  

Il ne s'agirait donc pas de hackers liés à un État, alors que le mode opératoire par ransomware rappelle celui de NotPetya en 2017. Le ransomware ciblait l'économie ukrainienne pour l'affaiblir et avait touché de grandes entreprises françaises comme Saint-Gobain, Renault ou Auchan. Pour cette attaque, les regards se tournaient alors vers le Kremlin. Dans le cas de SolarWinds, le président Joe Biden a formellement attribué l'attaque aux Russes et a engagé des sanctions contre le pays.

Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour. Toutes nos lettres d’information

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !