Pendant des années, des représentants du gouvernement et des dirigeants de l’industrie ont exécuté des simulations élaborées d’une cyberattaque ciblée sur le réseau électrique ou les gazoducs aux États-Unis, imaginant comment le pays réagirait.
Mais quand le moment réel, ce n’est pas un exercice est arrivé, cela ne ressemblait en rien aux jeux de guerre.
L’attaquant n’était pas un groupe terroriste ou un État hostile comme la Russie, la Chine ou l’Iran, comme cela avait été supposé dans les simulations. C’était un réseau d’extorsion criminelle. L’objectif n’était pas de perturber l’économie en mettant hors ligne un pipeline, mais de conserver les données d’entreprise contre rançon.
Les effets les plus visibles – de longues files d’automobilistes nerveux dans les stations-service – ne découlaient pas d’une réponse du gouvernement mais d’une décision de la victime, Colonial Pipeline, qui contrôle près de la moitié de l’essence, du carburéacteur et du diesel circulant le long de la côte Est, de tourner hors du robinet. Il l’a fait par crainte que le logiciel malveillant qui avait infecté ses fonctions de back-office puisse rendre difficile la facturation du carburant livré le long du pipeline ou même se propager dans le système d’exploitation du pipeline.
Ce qui s’est passé ensuite était un exemple frappant de la différence entre les simulations sur table et la cascade de conséquences qui peuvent suivre même une attaque relativement peu sophistiquée. Les séquelles de l’épisode se jouent encore, mais certaines des leçons sont déjà claires et montrent jusqu’où le gouvernement et le secteur privé doivent aller dans la prévention et la gestion des cyberattaques et dans la création de systèmes de sauvegarde rapide en cas de panne des infrastructures critiques.
Dans ce cas, la croyance de longue date selon laquelle les opérations du pipeline étaient totalement isolées des systèmes de données bloqués par DarkSide, un gang de ransomwares censé opérer hors de Russie, s’est avérée fausse. Et la décision de la société de fermer le pipeline a déclenché une série de dominos, notamment des achats de panique à la pompe et une peur silencieuse au sein du gouvernement que les dégâts pourraient se propager rapidement.
Une évaluation confidentielle préparée par les départements de l’énergie et de la sécurité intérieure a révélé que le pays ne pouvait se permettre que trois à cinq jours supplémentaires avec l’arrêt du pipeline Colonial avant que les bus et autres transports en commun n’aient à limiter leurs opérations en raison d’un manque de carburant diesel. Les usines chimiques et les opérations de raffinage fermeraient également parce qu’il n’y aurait aucun moyen de distribuer ce qu’elles produisaient, selon le rapport.
Et bien que les collaborateurs du président Biden aient annoncé des efforts pour trouver des moyens alternatifs de transporter de l’essence et du carburéacteur sur la côte Est, aucun n’était immédiatement en place. Il y avait une pénurie de chauffeurs de camion et de wagons-citernes pour les trains.
«Chaque fragilité a été exposée», Dmitri Alperovitch, cofondateur de CrowdStrike, une société de cybersécurité, et maintenant président du groupe de réflexion Silverado Policy Accelerator. «Nous avons beaucoup appris sur ce qui pouvait mal tourner. Malheureusement, nos adversaires aussi.
La liste des leçons est longue. Colonial, une entreprise privée, a peut-être pensé qu’elle avait un mur de protections imperméable, mais elle a été facilement violée. Même après avoir payé aux extorqueurs près de 5 millions de dollars en monnaie numérique pour récupérer ses données, la société a constaté que le processus de décryptage de ses données et de remise en marche du pipeline était extrêmement lent, ce qui signifie qu’il faudra encore des jours avant que la côte Est ne revienne. À la normale.
«Ce n’est pas comme appuyer sur un interrupteur d’éclairage», a déclaré M. Biden jeudi, notant que le pipeline de 5 500 milles n’avait jamais été fermé auparavant.
Pour l’administration, l’événement s’est avéré une semaine périlleuse dans la gestion de crise. M. Biden a déclaré à ses collaborateurs, a rappelé l’un d’eux, que rien ne pouvait causer des dommages politiques plus rapidement que les images télévisées des conduites de gaz et de la hausse des prix, avec la comparaison inévitable avec les pires moments de Jimmy Carter en tant que président.
M. Biden craignait que, à moins que le gazoduc ne reprenne ses activités, que la panique ne se dissipe et que la hausse des prix ne soit étouffée dans l’œuf, la situation ne nourrirait les craintes que la reprise économique soit encore fragile et que l’inflation augmente.
Au-delà de la vague d’actions visant à faire circuler le pétrole sur les camions, les trains et les navires, M. Biden a publié un décret de longue durée qui, pour la première fois, vise à imposer des changements en matière de cybersécurité.
Et il a suggéré qu’il était prêt à prendre des mesures que l’administration Obama avait hésité à prendre lors des hacks électoraux de 2016 – une action directe pour riposter aux attaquants.
«Nous allons également poursuivre une mesure visant à perturber leur capacité à opérer», a déclaré M. Biden, une ligne qui semblait laisser entendre que United States Cyber Command, la force de cyberguerre de l’armée, était autorisée à mettre DarkSide hors ligne, beaucoup comme il l’a fait à un autre groupe de ransomware à l’automne avant l’élection présidentielle.
Quelques heures plus tard, les sites Internet du groupe sont devenus sombres. Vendredi matin, DarkSide et plusieurs autres groupes de ransomwares, dont Babuk, qui a piraté le service de police de Washington DC, ont annoncé qu’ils sortaient du jeu.
Darkside a fait allusion à une action perturbatrice de la part d’un organisme d’application de la loi non spécifié, bien qu’il ne soit pas clair si cela était le résultat d’une action américaine ou de la pression de la Russie avant le sommet attendu de M. Biden avec le président Vladimir V.Poutine. Et se taire pourrait simplement refléter une décision du gang des ransomwares de contrecarrer les efforts de représailles en fermant ses opérations, peut-être temporairement.
Le Cyber Command du Pentagone a renvoyé des questions au Conseil national de sécurité, qui a refusé de commenter.
L’épisode a souligné l’émergence d’une nouvelle «menace mixte», qui peut provenir de cybercriminels, mais qui est souvent tolérée, et parfois encouragée, par une nation qui considère que les attaques servent ses intérêts. – non pas en tant que coupable, mais en tant que nation qui héberge plus de groupes de ransomwares que tout autre pays.
«Nous ne pensons pas que le gouvernement russe a été impliqué dans cette attaque, mais nous avons de bonnes raisons de croire que les criminels qui ont commis cette attaque vivent en Russie», a déclaré M. Biden. «Nous avons été en communication directe avec Moscou sur l’impératif pour les pays responsables de prendre des mesures contre ces réseaux de ransomwares.»
Avec les systèmes de Darkside en panne, on ne sait pas comment l’administration de M. Biden riposterait davantage, au-delà d’éventuelles inculpations et sanctions, qui n’avaient pas dissuadé les cybercriminels russes auparavant. La riposte avec une cyberattaque comporte également ses propres risques d’escalade.
L’administration doit également tenir compte du fait qu’une grande partie des infrastructures critiques américaines appartient et est exploitée par le secteur privé et reste prête à être attaquée.
«Cette attaque a révélé à quel point notre résilience est médiocre», a déclaré Kiersten E. Todt, directeur général de l’institut à but non lucratif Cyber Readiness Institute. «Nous réfléchissons trop à la menace, alors que nous ne faisons toujours pas le strict nécessaire pour sécuriser notre infrastructure critique.»
La bonne nouvelle, selon certains responsables, est que les Américains ont reçu un signal d’alarme. Le Congrès s’est retrouvé face à la réalité selon laquelle le gouvernement fédéral n’a pas le pouvoir d’exiger que les entreprises qui contrôlent plus de 80% des infrastructures essentielles du pays adoptent des niveaux minimaux de cybersécurité.
La mauvaise nouvelle, ont-ils dit, c’est que les adversaires américains – non seulement des superpuissances mais des terroristes et des cybercriminels – ont appris à quel point il en faut peu pour inciter au chaos dans une grande partie du pays, même s’ils ne pénètrent pas au cœur du réseau électrique. , ou les systèmes de contrôle opérationnel qui transportent l’essence, l’eau et le propane à travers le pays.
Quelque chose d’aussi basique qu’une attaque de ransomware bien conçue peut facilement faire l’affaire, tout en offrant un déni plausible à des États comme la Russie, la Chine et l’Iran qui font souvent appel à des tiers pour des cyberopérations sensibles.
La façon dont Darkside a fait irruption dans le réseau commercial de Colonial reste un mystère. La société privée n’a pratiquement rien dit sur la façon dont l’attaque s’est déroulée, du moins en public. Il a attendu quatre jours avant d’avoir des discussions de fond avec l’administration, une éternité lors d’une cyberattaque.
Les experts en cybersécurité notent également que Colonial Pipeline n’aurait jamais eu à fermer son pipeline s’il avait eu plus confiance dans la séparation entre son réseau commercial et les opérations de pipeline.
«Il devrait absolument y avoir une séparation entre la gestion des données et la technologie opérationnelle réelle», a déclaré Mme Todt. «Ne pas faire l’essentiel est franchement inexcusable pour une entreprise qui transporte 45% du gaz vers la côte Est.»
D’autres opérateurs de pipeline aux États-Unis déploient des pare-feu avancés entre leurs données et leurs opérations qui ne permettent aux données de circuler que dans une seule direction, hors du pipeline, et empêcheraient une attaque de ransomware de se propager.
Colonial Pipeline n’a pas dit s’il avait déployé ce niveau de sécurité sur son pipeline. Les analystes du secteur affirment que de nombreux opérateurs d’infrastructures critiques affirment que l’installation de telles passerelles unidirectionnelles le long d’un pipeline de 5500 miles peut être compliquée ou d’un coût prohibitif. D’autres disent que le coût de déploiement de ces sauvegardes est toujours moins cher que les pertes dues aux temps d’arrêt potentiels.
Dissuader les criminels de ransomware, qui ont augmenté en nombre et en effronterie au cours des dernières années, sera certainement plus difficile que de dissuader les nations. Mais cette semaine a clairement montré l’urgence.
“Tout est amusant et amusant quand nous nous volons de l’argent”, a déclaré Sue Gordon, ancienne directrice adjointe principale du renseignement national et analyste de longue date de la CIA spécialisée dans les cyber-problèmes, lors d’une conférence organisée par The Cipher Brief, un bulletin d’information en ligne sur le renseignement. «Lorsque nous compromettons la capacité d’une société à fonctionner, nous ne pouvons pas le tolérer.»
