Colonial Pipeline : le symbole d’un échec face aux ransomwares ?

RansomwareSécurité
Colonial Pipeline ransomwares USA

Quelle approche à adopter face aux ransomwares ? Washington exprime encore bien des doutes après l’attaque contre Colonial Pipeline.

Faut-il systématiquement recommander aux victimes de ransomwares de ne pas payer la rançon ? L’administration américaine n’en semble plus si sûre. Tout du moins à en écouter Anne Neuberger, conseillère nationale adjointe pour la cybersécurité.

L’intéressée est intervenue hier à l’occasion d’un point presse de la Maison Blanche consécutif à l’attaque contre Colonial Pipeline. On l’a interpellée à plusieurs reprises au sujet des rançons. Sa réponse fut loin d’être ferme. On aura retenu un message : le gouvernement se pose bien des questions.

« Nous reconnaissons que les entreprises [peuvent se trouver] dans une position difficile si leurs données sont chiffrées […] et qu’elles ne peuvent [pas] les récupérer », a constaté Anne Neuberger. Avant d’admettre la nécessité d’examiner « scrupuleusement » la situation pour déterminer comment ne pas encourager le développement des ransomwares.
Pour le moment, les États-Unis ont essentiellement actionné deux leviers, suggère-t-elle. D’un côté, les opérations de démantèlement des infrastructures d’attaque. De l’autre, les démarches d’identification – et éventuellement de poursuite – des responsables.

La question des rançons n’a pas non plus trouvé de réponse au sein de la Ransomware Task Force. Les membres de ce partenariat public-privé né fin 2020 – et qui a rallié les « grands » de la tech américaine – ne sont pas parvenus à s’accorder sur les recommandations à faire aux victimes.

À quoi joue DarkSide ?

Les autorités attribuent l’offensive contre Colonial Pipeline au ransomware DarkSide. Plus précisément à une variante sur laquelle le FBI enquête depuis octobre dernier. Le groupe cybercriminel éponyme ne semble pas directement à la baguette. Il est en tout cas sorti du silence pour l’affirmer : on doit l’assaut à un de ses clients. Et, officiellement, il en est « désolé ». À tel point qu’il « [vérifiera] désormais toutes les entités que comptent cibler [ses] partenaires ».

Faut-il prendre ces promesses pour argent comptant ? DarkSide paraît quoi qu’il en soit s’être rendu compte qu’il a franchi la ligne rouge. Et qu’il s’est d’autant plus exposé à des représailles. Ses déclarations ne s’arrêtent d’ailleurs pas là. « Nous sommes apolitiques »*, poursuit-il, assurant ne pas avoir l’intention d’engendrer des affaires telles que celle de Colonial Pipeline.

L’opérateur de pipelines espère rétablir la situation d’ici à la fin de semaine. Les principales conduites de son réseau sont à l’arrêt depuis vendredi dernier. Officiellement, il n’y a pas de pénurie pour le moment. Le département de l’Intérieur a tout de même décrété un état d’urgence qui assouplit les conditions de transport des dérivés pétroliers par voie routière.

À en croire l’entreprise et la Maison Blanche, il n’y a pas eu d’accès indésirable aux systèmes de contrôle des pipelines. Mais le risque de pénétrations ultérieures n’est pas à exclure. Ni l’entreprise, ni les officiels impliqués dans l’enquête ne détaillent effectivement la nature des données sur lesquelles les assaillants semblent avoir mis la main.

Biden appelle Poutine à la responsabilité

DarkSide fait partie des groupes à avoir manifesté un engagement à ne pas viser certaines entités. En l’occurrence, les établissements de santé, les écoles et les entreprises « incapables de payer une rançon ». Son caractère apolitique revendiqué contraste avec le code même de son ransomware. Celui-ci est conçu pour ne pas s’activer sur les systèmes qui utilisent la langue russe ou celles de pays situés dans la sphère d’influence de Moscou (Biélorussie, Kazakhstan, Ukraine…).

Washington ne prétend pas qu’il existe des liens entre DarkSide et le Kremlin. Joe Biden a néanmoins exhorté la Russie à « arrêter d’abriter des cybercriminels ». Et à assumer sa part de responsabilité dans l’attaque contre Colonial Pipeline.

Du côté du FBI, on a publié des indicateurs de compromis. La CISA, homologue de notre ANSSI, prépare quant à elle une réunion avec les OIV. Quant au département de l’Énergie, il s’entretient actuellement avec les entreprises du secteur.

Photo d’illustration © Rawpixel.com – Adobe Stock

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur 
Avis d'experts de l'IT