Pour gérer vos consentements :
Categories: RansomwareSécurité

Colonial Pipeline : le symbole d’un échec face aux ransomwares ?

Faut-il systématiquement recommander aux victimes de ransomwares de ne pas payer la rançon ? L’administration américaine n’en semble plus si sûre. Tout du moins à en écouter Anne Neuberger, conseillère nationale adjointe pour la cybersécurité.

L’intéressée est intervenue hier à l’occasion d’un point presse de la Maison Blanche consécutif à l’attaque contre Colonial Pipeline. On l’a interpellée à plusieurs reprises au sujet des rançons. Sa réponse fut loin d’être ferme. On aura retenu un message : le gouvernement se pose bien des questions.

« Nous reconnaissons que les entreprises [peuvent se trouver] dans une position difficile si leurs données sont chiffrées […] et qu’elles ne peuvent [pas] les récupérer », a constaté Anne Neuberger. Avant d’admettre la nécessité d’examiner « scrupuleusement » la situation pour déterminer comment ne pas encourager le développement des ransomwares.
Pour le moment, les États-Unis ont essentiellement actionné deux leviers, suggère-t-elle. D’un côté, les opérations de démantèlement des infrastructures d’attaque. De l’autre, les démarches d’identification – et éventuellement de poursuite – des responsables.

La question des rançons n’a pas non plus trouvé de réponse au sein de la Ransomware Task Force. Les membres de ce partenariat public-privé né fin 2020 – et qui a rallié les « grands » de la tech américaine – ne sont pas parvenus à s’accorder sur les recommandations à faire aux victimes.

À quoi joue DarkSide ?

Les autorités attribuent l’offensive contre Colonial Pipeline au ransomware DarkSide. Plus précisément à une variante sur laquelle le FBI enquête depuis octobre dernier. Le groupe cybercriminel éponyme ne semble pas directement à la baguette. Il est en tout cas sorti du silence pour l’affirmer : on doit l’assaut à un de ses clients. Et, officiellement, il en est « désolé ». À tel point qu’il « [vérifiera] désormais toutes les entités que comptent cibler [ses] partenaires ».

Faut-il prendre ces promesses pour argent comptant ? DarkSide paraît quoi qu’il en soit s’être rendu compte qu’il a franchi la ligne rouge. Et qu’il s’est d’autant plus exposé à des représailles. Ses déclarations ne s’arrêtent d’ailleurs pas là. « Nous sommes apolitiques »*, poursuit-il, assurant ne pas avoir l’intention d’engendrer des affaires telles que celle de Colonial Pipeline.

L’opérateur de pipelines espère rétablir la situation d’ici à la fin de semaine. Les principales conduites de son réseau sont à l’arrêt depuis vendredi dernier. Officiellement, il n’y a pas de pénurie pour le moment. Le département de l’Intérieur a tout de même décrété un état d’urgence qui assouplit les conditions de transport des dérivés pétroliers par voie routière.

À en croire l’entreprise et la Maison Blanche, il n’y a pas eu d’accès indésirable aux systèmes de contrôle des pipelines. Mais le risque de pénétrations ultérieures n’est pas à exclure. Ni l’entreprise, ni les officiels impliqués dans l’enquête ne détaillent effectivement la nature des données sur lesquelles les assaillants semblent avoir mis la main.

Biden appelle Poutine à la responsabilité

DarkSide fait partie des groupes à avoir manifesté un engagement à ne pas viser certaines entités. En l’occurrence, les établissements de santé, les écoles et les entreprises « incapables de payer une rançon ». Son caractère apolitique revendiqué contraste avec le code même de son ransomware. Celui-ci est conçu pour ne pas s’activer sur les systèmes qui utilisent la langue russe ou celles de pays situés dans la sphère d’influence de Moscou (Biélorussie, Kazakhstan, Ukraine…).

Washington ne prétend pas qu’il existe des liens entre DarkSide et le Kremlin. Joe Biden a néanmoins exhorté la Russie à « arrêter d’abriter des cybercriminels ». Et à assumer sa part de responsabilité dans l’attaque contre Colonial Pipeline.

Du côté du FBI, on a publié des indicateurs de compromis. La CISA, homologue de notre ANSSI, prépare quant à elle une réunion avec les OIV. Quant au département de l’Énergie, il s’entretient actuellement avec les entreprises du secteur.

Photo d’illustration © Rawpixel.com – Adobe Stock

Recent Posts

Dataiku en SaaS : le chantier concrétisé

L'offre Dataiku Online fait ses débuts commerciaux. Il s'agit d'une version SaaS de la plate-forme…

21 heures ago

Numeum : une voix numérique pour la France et l’Europe

Né de la fusion de Syntec Numérique et Tech in France, Numeum est le nouveau…

21 heures ago

Fluid Framework : ce que Microsoft vise sur Office et au-delà

L'intégration de Fluid Framework dans Microsoft 365 va se renforcer cet été. Mais la démarche…

23 heures ago

Développement logiciel : SLSA veut sécuriser la chaîne

Avec le projet SLSA, fondé sur une de ses méthodes internes, Google projette un framework…

1 jour ago

Microsoft : Satya Nadella devient président du conseil

Satya Nadella va cumuler les fonctions de président du "board" et de directeur général de…

2 jours ago

RGPD : les 27 disent oui au Royaume-Uni

Les États membres de l'UE ont validé la décision d'adéquation qui ouvre la voie au…

2 jours ago