jeCela fait 40 ans que Lisa Donnan fait la queue pour de l’essence. Mais le mois dernier, l’experte en cybersécurité s’est retrouvée à rejoindre les longues files de voitures sur la côte est des États-Unis à la recherche de carburant après que la dernière d’une série de cyberattaques eut fermé le pipeline qui alimente 45% de la région en carburant.
“La dernière fois que je l’ai fait, c’était pendant la crise iranienne”, a-t-elle déclaré. « Mon père a dû attendre avec moi.
Le piratage du Colonial Pipeline n’était que l’une d’une série de cyberattaques qui ont récemment frappé les États-Unis et ailleurs. Des pirates informatiques ont démantelé JBS, le plus grand transformateur de viande au monde, perturbant le marché mondial de la viande, fermé des écoles dans l’Iowa et frappé des hôpitaux en Irlande, ce qui, selon les experts, est une dangereuse escalade d’une vague de criminalité qui a explosé à cause des opérations de chantage à petite échelle de il y a quelques années à des agressions majeures qui menacent les moyens de subsistance – et potentiellement la vie – de millions de personnes.
La plupart des attaques récentes proviennent d’opérations en Russie et les responsables américains affirment que la responsabilité de la Russie dans les attaques de ransomware menées depuis son territoire serait un problème central lorsque Joe Biden rencontrera Vladimir Poutine à Genève mercredi prochain.
“L’une des choses que le président Biden fera comprendre au président Poutine, lorsqu’il le verra, est que les États ne peuvent pas avoir pour mission d’héberger ceux qui se livrent à ce genre d’attaques”, a déclaré le secrétaire d’État, Tony Blinken. Congrès cette semaine.
Eric Green, directeur principal pour la Russie et l’Asie centrale au Conseil de sécurité nationale, a déclaré que l’un des résultats attendus du sommet de Genève était un dialogue de routine entre de hauts responsables américains et russes visant à apporter une plus grande stabilité et prévisibilité à la relation. L’un des problèmes dans le dialogue serait les attaques de ransomware.
“Lorsque nous parlerons de stabilité stratégique, le cyber sera certainement également à l’ordre du jour”, a déclaré Green lors d’une récente discussion organisée par le Center for a New American Security. “Les récentes attaques de ransomware nous rappellent que le cyberdomaine est sujet à des perceptions erronées et qu’il existe de dangereux risques d’escalade.”
Des responsables américains ont déclaré que l’Amérique ferait pression pour que l’OTAN étende son implication dans la cyberdéfense lors du sommet de l’alliance à Bruxelles. Mais la question sans réponse est de savoir comment répondre aux attaques de ransomware par des groupes criminels pour lesquels leurs pays hôtes nient la responsabilité.
“Poutine niera toute ingérence dans la politique américaine ou mener des cyberattaques, affirmant que Washington n’a aucune preuve, tout en rejetant la légitimité des préoccupations américaines concernant ce qui se passe en Russie”, a déclaré Steven Pifer, ancien secrétaire d’État adjoint aux Affaires européennes et eurasiennes. et maintenant chercheur principal à la Brookings Institution.
« Biden ne devrait pas perdre de temps à se disputer. Il devrait plutôt viser à faire en sorte que Poutine comprenne clairement quelle conduite est interdite. »
La pression pour que Biden agisse augmente. Il y a eu une augmentation de 62 % des ransomwares dans le monde depuis 2019 et un pic de 158 % en Amérique du Nord, selon le SonicWall Cyber Threat Report 2021. Parallèlement à cette augmentation, la nature des crimes et leurs cibles évoluent également.
“Nous voyons plus d’attaques, des attaques plus sophistiquées, des attaques plus importantes et ce qui est effrayant, c’est que nous les voyons davantage sur les chaînes d’approvisionnement”, a déclaré Donnan. «Auparavant, il s’agissait d’exfiltration financière, de vol d’argent et de dommages à la réputation. C’est maintenant dans un environnement dangereux pour la vie. C’est un changement radical. »
Désormais partenaire de l’investisseur de capital-investissement en cybersécurité Option3Ventures, Donnan dit qu’elle ne s’attend pas à voir une quelconque diminution des attaques. Les États-nations, dont la Russie, la Chine et la Corée du Nord, deviennent de plus en plus ambitieux dans leurs attaques et les entreprises criminelles qui opèrent sous leurs ailes deviennent de plus en plus effrontées.
“Le paysage est mûr et prêt à être attaqué par une tempête parfaite de pirates informatiques, d’États-nations et du cybercriminel moyen”, a-t-elle déclaré.
Une partie de la récente flambée est due à la pandémie, qui a aidé les pirates informatiques en accélérant la numérisation des entreprises et en leur donnant plus de points d’accès alors que les personnes et les entreprises ont déménagé pour travailler à distance.
En plus de cela, il y a eu une explosion du développement de logiciels, dont une grande partie n’a pas été conçue avec la sécurité à l’esprit dès le début, a déclaré Donnan. « Nous avons toujours une culture d’accès au marché, soyez le premier. Nous concevons du code sans penser à la sécurité », a-t-elle déclaré.
Enfin, la cybercriminalité a peu de conséquences. Les crypto-monnaies sont le paiement préféré pour les rançons et sont aussi difficiles à suivre que les origines du piratage. Avec les autorités peu susceptibles de résoudre l’affaire de sitôt – voire jamais – pour de nombreuses cibles, ne pas payer est un choix difficile. Joseph Blount, directeur général de Colonial, a déclaré au Congrès la semaine dernière qu’il avait décidé de payer la rançon en bitcoins de 4,4 millions de dollars pour remettre le pipeline en ligne après avoir vu “un pandémonium se dérouler sur les marchés”.
Les politiciens ont dénoncé Blount pour l’échec de l’entreprise à arrêter le piratage. Mais le gouvernement lui-même n’a pas non plus réussi à arrêter de nombreux piratages et ne pas payer la rançon peut être plus coûteux que de payer et laisser les entreprises potentiellement exposées à de nouvelles agressions. JBS a payé 11 millions de dollars en bitcoins à ses pirates, même s’il avait principalement résolu ses problèmes, espérant que le paiement empêcherait d’autres problèmes liés à l’attaque.
En 2019, Baltimore a été touchée par une cyberattaque qui a pris le contrôle de certaines parties de son gouvernement. Les pirates ont exigé 760 000 $ en bitcoins mais le maire, Bernard « Jack » Young, a refusé de payer. Le coût de reconstruction de ses systèmes a maintenant atteint 18,2 millions de dollars.
Publiquement, le FBI conseille aux victimes de ne pas payer de rançon afin de dissuader les auteurs de cibler davantage de victimes. Mais en privé, ils diront aux cibles qu’ils comprennent s’ils ressentent le besoin de payer.
Dans l’affaire Colonial, le FBI a réussi à saisir la majorité du paiement en bitcoins – un signe encourageant qui pourrait décourager certains attaquants, selon les experts – mais il n’en demeure pas moins que la plupart de ces crimes restent impunis.
“C’est très difficile à poursuivre, cela prend beaucoup de temps, cela demande une coopération géopolitique car la plupart de ces attaques viennent de l’offshore”, a déclaré Donnan. « Le gouvernement ne dispose que de tant de ressources. Il ne faut pas beaucoup d’outils ou de capacités cérébrales pour faire ces choses », a-t-elle déclaré. “Vous pouvez acheter une trousse à outils sur le dark web.”
Une ironie de la vague actuelle de piratages est que les États-Unis sont attaqués par des outils développés par leur propre Agence de sécurité nationale (NSA). En 2016, un groupe en ligne appelé Shadow Brokers a affirmé avoir infiltré l’Equation Group, le propre groupe de piratage privé de la NSA, et obtenu des logiciels malveillants utilisés par les États-Unis pour cibler leurs ennemis.
Les Shadow Brokers ont revendiqué la publication du logiciel de la NSA qui a facilité l’attaque du ransomware WannaCry en mai 2017, qui a déclenché plus de 45 000 attaques dans 99 pays et paralysé des parties du National Health Service britannique. Les chercheurs pensent que l’attaque est originaire de Corée du Nord.
En juin 2017, le même outil de cyberattaque développé par la NSA, appelé EternalBlue, a été utilisé pour lancer une série d’attaques contre l’Ukraine, affectant le gouvernement, les banques et les systèmes de transport et mettant hors ligne le système de surveillance des radiations de Tchernobyl. Cette attaque s’est ensuite propagée dans le monde entier, frappant des entreprises ayant des bureaux en Ukraine, notamment FedEx, l’agence de publicité WPP, la société pharmaceutique Merck et le fabricant de biens de consommation Reckitt Benckiser.
Les États-Unis, le Royaume-Uni et d’autres chercheurs ont blâmé la Russie pour cette attaque, affirmant qu’elle n’était pas conçue pour faire de l’argent mais pour nuire à l’économie ukrainienne.
L’escalade des cas survient alors même que les dépenses de sécurité augmentent considérablement. Les États-Unis sont le pays numéro un pour la cybercriminalité et dépensent également le plus en cybersécurité.
En 2015, l’Office of Personnel Management (OPM) des États-Unis a annoncé qu’il avait été piraté en 2015, l’un des plus grands vols de données de l’histoire. Depuis lors, les États-Unis ont dépensé 115 milliards de dollars pour la cybersécurité et la Maison Blanche demande au Congrès de consacrer environ 10 milliards de dollars à la cybersécurité du gouvernement civil l’année prochaine, soit un bond de près de 14 %. L’industrie a dépensé 41 milliards de dollars pour la cybersécurité en 2019 et devrait avoir dépensé 53 milliards de dollars en 2020.
Même après que tout cet argent ait été dépensé, a déclaré Donnan, “nous sommes toujours exposés car il n’y a aucune conséquence”.
Mais il y a des récompenses.
Il y a trois ans, Paul Ferrillo, associé du cabinet d’avocats new-yorkais Seyfarth Shaw, spécialisé dans la cybersécurité, a déclaré qu’il réglait des piratages de ransomware pour cinq bitcoins (environ 6 000 $ par bitcoin à l’époque et actuellement environ 36 000 $ chacun). “Maintenant, vous avez de la chance si c’est 75 ou 100 bitcoins. J’ai récemment entendu parler d’une demande de 140 millions de dollars”, a-t-il déclaré.
“Si c’est la nouvelle norme, ils gagnent”, a-t-il déclaré. « Ces acteurs criminels sont bien financés et intelligents, qu’ils soient financés par l’État ou non. Nous devons être aussi intelligents qu’eux.
Ferrillo a déclaré qu’il n’y avait pas de solution miracle pour résoudre la crise et que tout le monde, du gouvernement au citoyen privé, devait jouer un rôle. Les entreprises doivent mieux gérer leurs données, stocker les sauvegardes hors ligne et s’assurer qu’il est plus difficile d’accéder à leurs systèmes.
Il veut également voir plus de transparence de la part de l’industrie. Les entreprises ont souvent caché des hacks parce qu’elles ne veulent pas ressembler à des « doofus », a-t-il déclaré. « Mais lorsque l’industrie partage des informations, nous devenons tous plus intelligents. Nous comprenons où nous devrions chercher et comment nous devrions faire mieux.
Mais s’attaquer à cette explosion du piratage nécessitera des actions de tout le monde, a-t-il déclaré, du gouvernement aux citoyens privés. « La cybersécurité est une responsabilité partagée. Nous sommes tous dans le même bateau », a-t-il déclaré.
