Overblog
Editer l'article Suivre ce blog Administration + Créer mon blog
Knock on Wood

Cyberattaques et Colonial Pipeline ( Cybersecurity , Ramsomware )

10 Mai 2021 , Rédigé par Ipsus Publié dans #Sciences & Techniques, #GEOPOLITIQUE, #INFORMATIQUE -Web

L’étau semblait se resserrer vendredi autour des pirates informatiques de DarkSide à l’origine de la cyberattaque contre l’opérateur d’oléoducs américain Colonial Pipeline: des experts affirment que ses serveurs ont été mis hors service et que ses messages ont même été supprimés par une importante communauté de cybercriminels russes.

 

La cyberattaque qui a paralysé ce week-end les activités du premier exploitant d’oléoducs sur la côte Est des Etats-Unis avait été précédée d’alertes d’anciens et actuels hauts fonctionnaires fédéraux selon lesquels la sécurité nationale était menacée par les rançongiciels.

Samedi après-midi, Colonial Pipeline a annoncé avoir fait l’objet de cette forme d’attaque qui consiste, pour ses auteurs, à prendre le contrôle de systèmes informatiques et à exiger une rançon en échange du déblocage des réseaux et données de la victime.

Colonial exploite un système d’oléoducs de près de 9 000 kilomètres, qui achemine essence et diesel depuis le Golfe du Mexique jusqu’à la région de New York. L’entreprise a déclaré avoir « mis hors service certains systèmes pour contenir la menace, ce qui a provisoirement interrompu l’ensemble des activités d’oléoducs ».

Selon les analystes en cybersécurité, les entreprises sont depuis plusieurs années la cible de rançongiciels et ces attaques deviennent de plus en plus impudentes et coûteuses, en particulier depuis le début de la pandémie. Avec le passage au télétravail, les employés ont été moins nombreux à travailler exclusivement dans le cadre de réseaux sécurisés, offrant autant d’occasions aux pirates informatiques de s’introduire dans les systèmes, expliquent les analystes. La société de cybersécurité Emsisoft estime que les attaques contre les écoles, les administrations locales et les établissements de soins ont bondi l’année dernière, à 2 354 contre 966 en 2019.

Groupes scolaires, hôpitaux, administrations et entreprises de toutes tailles ont été les cibles de ces attaques, et les analystes affirment que les hackers exigent souvent des rançons de plusieurs millions de dollars pour le décryptage des fichiers saisis.

Comment fonctionnent les rançongiciels ?

Les rançongiciels sont un type de logiciels qui cryptent les fichiers des ordinateurs infectés, rendant inutilisables ces fichiers ainsi que les systèmes qui en dépendent, selon la définition de l’Agence américaine de la cybersécurité et de la sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency, CISA), qui fait partie du département de la Sécurité intérieure. Il existe de multiples formes de rançongiciels, qui font partie des programmes malveillants. Le recours à des outils spécifiquement conçus par les pirates informatiques est souvent nécessaire pour décrypter les systèmes visés.

Les auteurs de ces attaques exigent généralement des paiements en échange de ces outils, indique la CISA. Coveware, qui aide les entreprises victimes à récupérer leurs données, affirme que les rançons payées à la suite de ces attaques ont atteint en moyenne 220 298 dollars au premier trimestre 2021, soit une augmentation de 43 % par rapport au dernier trimestre 2020. Il arrive que les demandes de rançons se chiffrent en millions de dollars, selon les spécialistes intervenant dans le cadre d’incidents de ce type.

Quelle est l’ampleur de la menace pour les entreprises ?

Mercredi, le secrétaire à la Sécurité intérieure, Alejandro Mayorkas, avait qualifié les rançongiciels de menace pour la sécurité nationale. La fréquence de ces attaques a augmenté de 300 % en 2020, a-t-il précisé lors d’un événement virtuel organisé par la Chambre de Commerce américaine. Les trois quarts des victimes sont des petites entreprises, qui ont payé au total plus de 350 millions de dollars de rançons l’année dernière, a-t-il indiqué.

Outre le blocage des fichiers, les auteurs d’attaques par rançongiciel recourent de plus en plus à des tactiques de double extorsion, qui consistent à menacer de publier les informations volées s’ils n’obtiennent pas les montants exigés. Selon Coveware, 77 % des attaques qui ont eu lieu au premier trimestre 2021 ont impliqué le vol de données sous une forme ou une autre.

« De nombreux clients sont potentiellement capables de se remettre du point de vue opérationnel, mais paient la rançon pour empêcher que les données volées ne soient publiées », explique Mark Lance, directeur principal de la cyberdéfense chez GuidePoint Security.

De quelle manière les entreprises peuvent-elles atténuer les risques de rançongiciel ?

Selon les analystes en sécurité, de nombreuses attaques par rançongiciel sont de nature opportuniste, au sens où elles exploitent des lacunes dans les mesures de protection plutôt qu’elles ne ciblent activement tel ou tel individu ou entreprise.

« Les rançongiciels sont le symptôme d’un plus vaste problème, à savoir de mauvaises habitudes en matière de cybersécurité », souligne Megan Stifel, directrice exécutive de la Global Cyber Alliance, une organisation à but non lucratif dédiée à la sécurité sur internet.

La CISA recommande à toutes les entreprises d’adopter un certain nombre de pratiques pour réduire le risque d’infection de leurs systèmes par des rançongiciels. Elle leur conseille notamment de veiller à la mise à jour de leurs logiciels et de remédier régulièrement aux failles de sécurité. En outre, l’agence propose aux collectivités locales et aux entreprises actives dans des infrastructures critiques d’explorer gratuitement leur réseau pour dépister d’éventuelles fragilités.

Que faire en cas d’attaque ?

Les autorités comme le FBI et les services secrets américains recommandent aux entreprises victimes de les contacter pour obtenir de l’aide.

Selon Peter Marta, associé du cabinet d’avocats Hogan Lovells, les entreprises peuvent toutefois hésiter à prendre langue avec les services secrets de peur de faire par la suite l’objet de mesures répressives de la part des organes réglementaires. Les responsables des forces de sécurité affirment qu’ils ne cherchent qu’à aider les entreprises piratées à se remettre en ordre de marche.

« Nous ne sommes pas une autorité réglementaire, il n’y a donc pas de preuve que les services secrets partagent des informations avec une quelconque entité de régulation ni/ou recourent à des mesures punitives contre les victimes », a observé David Smith, agent spécial responsable de la division d’enquêtes criminelles des services secrets, qui s’exprimait, comme M. Marta, lors de l’événement organisé par la Chambre de Commerce américaine.

Certaines entreprises pourraient être obligées de faire état de violations de données ou de cyberattaques auprès des autorités réglementaires en vertu de textes comme la Loi sur la portabilité et la responsabilité en matière d’assurance santé, ou la réglementation sur la cybersécurité des Services financiers de l’Etat de New York.

Comment se remettre d’une attaque par rançongiciel ?

Pour les responsables de la cybersécurité, un dispositif adéquat de sauvegarde des données constitue une mesure défensive essentielle pour se protéger contre les attaques par rançongiciel. En cas d’attaque, il faudra supprimer le logiciel malveillant des systèmes piratés. Un bon dispositif de sauvegarde peut permettre aux entreprises de restaurer leurs systèmes sans devoir utiliser d’outil de décryptage mis au point par les pirates informatiques, a assuré Eric Goldstein, directeur adjoint exécutif pour la cybersécurité à la CISA, lors de l’événement organisé par la Chambre de Commerce américaine.

« Une fois que votre réseau est assaini et que vous êtes certain de vous être débarrassé de la menace, vous pouvez récupérer vos données critiques à partir d’une [source] fiable connue. C’est le remède le plus efficace à une attaque par rançongiciel », a-t-il déclaré.

Faut-il payer la rançon ?

Le FBI recommande aux entreprises de ne pas payer de rançon. Les spécialistes de la cybersécurité qui s’occupent d’attaques par rançongiciel disent souvent qu’il n’existe pas de garantie qu’un pirate fournira un outil de décryptage opérationnel même s’il reçoit un paiement – et le pirate pourrait cibler de nouveau l’organisation concernée pour obtenir une autre rançon.

De nombreux auteurs d’attaques par rançongiciel disposent aujourd’hui d’infrastructures qui ressemblent à des entreprises légitimes, et utilisent comme argument de vente le fait qu’ils assurent un décryptage complet une fois la rançon payée.

« Ils ont affecté des organisations de toutes sortes et ils sont dotés de services clients. Ils ont un service de discussion. Ils proposent une assistance téléphonique si besoin », note Drew Schmitt, analyste principal de renseignements sur les menaces chez GuidePoint.

Quelles sont les mesures prises par les pouvoirs publics en matière de rançongiciels ?

Le département de la Justice a récemment établi un groupe de travail dédié à l’étude des attaques par rançongiciel, qui doit analyser les liens entre les auteurs de ces attaques et certains Etats-nations, entre autres.

Le 29 avril, un groupe nommé Ransomware Task Force, composé de fonctionnaires fédéraux et d’entreprises technologiques comme Microsoft, Amazon et FireEye, a fait part dans un rapport de propositions concernant la lutte contre les attaques par rançongiciel. Elles vont de la création de groupes de travail interministériels dirigés par la Maison Blanche jusqu’au durcissement des réglementations sur les marchés de cryptomonnaies qui, selon le groupe, sont utilisées par les pirates informatiques pour récupérer les rançons.

« Même si vous menez une offensive diplomatique pour déblayer ces zones refuges à partir desquels ils opèrent, vous pouvez aller encore plus loin en ciblant leurs infrastructures et processus de paiement parallèlement », affirme Philip Reiner, qui dirige l’organisme à but non lucratif Institute for Security and Technology et assure la coprésidence du groupe Ransomware Task Force.

M. Mayorkas a indiqué que les attaques par rançongiciel constitueraient une priorité pour le département de la Sécurité intérieure et la CISA. La commission de la Sécurité intérieure de la Chambre des représentants a organisé une audition à ce sujet mercredi dernier, durant laquelle les intervenants ont évoqué les conclusions du rapport sur les rançongiciels et débattu de la nécessité d’octroyer des moyens supplémentaires à la CISA.

(Traduit à partir de la version originale en anglais par Anne Montanaro)

Partager cet article

Repost0
Pour être informé des derniers articles, inscrivez vous :