Une attaque de pirates sur un pipeline essentiel montre les faiblesses de l’infrastructure

Un opérateur de pipeline de carburant américain crucial a récemment annoncé qu’il avait été touché par un ransomware, un type de cyberattaque dans laquelle des pirates informatiques chiffrent des données importantes afin que leurs propriétaires ne puissent pas y accéder, à moins que les propriétaires ne paient les criminels pour déverrouiller les informations. Colonial Pipeline, une société privée qui transporte près de la moitié de l’essence et d’autres carburants de la côte est des États-Unis, a dû fermer 5 500 milles de son pipeline de carburant. Le FBI a imputé l’attaque à un groupe criminel appelé DarkSide.

Contrairement aux ransomwares utilisés pour kidnapper les fichiers informatiques d’un individu, verrouiller le réseau d’une université ou extorquer un hôpital, les attaques contre des infrastructures majeures telles que le pipeline de carburant de Colonial Pipeline peuvent avoir des impacts énormes sur des régions entières du pays. Le ransomware de DarkSide «a causé une perturbation assez importante de l’approvisionnement en carburant sur la côte Est et a provoqué un certain nombre d’interventions politiques et de réactions de l’administration. [of President Joe Biden] d’essayer de faciliter le transport du carburant et d’en atténuer les effets », déclare Josephine Wolff, professeure adjointe de politique de cybersécurité à l’Université Tufts. Américain scientifique s’est entretenu avec Wolff de la menace posée par les ransomwares, de la vulnérabilité de l’infrastructure critique des États-Unis et de ce qui peut être fait pour la protéger.

[An edited transcript of the interview follows.]

Les attaques de ransomwares sont-elles de plus en plus fréquentes?

Il est difficile de cerner de très bons chiffres car [there are] beaucoup d’attaques de ransomwares dont nous n’entendons pas parler publiquement. Il n’y a aucune obligation de les signaler, la plupart du temps. Mais ceux dont nous entendons parler deviennent manifestement non seulement plus nombreux, mais aussi plus significatifs dans leurs impacts. Si nous repensons à quelques années en arrière, nous avons eu la ville d’Atlanta, la ville de Baltimore, un certain nombre d’attaques publiques ciblées par le gouvernement qui utilisaient des ransomwares. Plus récemment, l’accent a été mis sur les attaques visant les hôpitaux et les prestataires de soins de santé. Et se profiler en arrière-plan, bien que nous en ayons vu moins d’exemples, était la menace d’attaques comme celle-ci: cibler des infrastructures critiques qui perturberaient considérablement les opérations et la vie quotidienne.

À part les pipelines, quels autres types d’infrastructure sont à risque?

L’exemple typique que les gens utilisent est le réseau électrique. Que se passe-t-il si quelqu’un est en mesure d’empêcher la fourniture d’électricité dans une partie du pays? La fermeture du pipeline Colonial, bien que ce ne soit pas exactement cela, s’inscrit dans ce scénario cauchemardesque de «Que faisons-nous si nous perdons le contrôle de notre infrastructure électrique?» Mais c’est vrai dans un certain nombre de secteurs d’infrastructures essentielles. Que se passe-t-il si une grande partie de l’infrastructure bancaire est fermée ou impossible d’accès? Que se passe-t-il si le système de métro d’une grande ville est compromis et qu’il est impossible de planifier des trains ou d’assurer le transport? Jusqu’à ce point, la plupart du temps, nous venons d’imaginer ces scénarios. Il y a eu quelques exemples très médiatisés du secteur de l’électricité ciblé, mais c’est encore assez rare – et, pour cette raison, assez frappant.

Ces systèmes sont-ils correctement protégés?

La réponse générale est que probablement rien dans notre secteur énergétique n’est correctement protégé. C’est un secteur avec un nombre énorme de systèmes hérités et une infrastructure compliquée, et c’est un secteur qui doit toujours être opérationnel. Il n’est donc pas facile de dire: «Nous allons prendre une semaine, un mois ou un an et tout réorganiser complètement et mettre à jour tous les systèmes.»

Comment ces cibles potentielles peuvent-elles mieux se défendre?

Tout d’abord, ils devraient vraiment essayer de verrouiller leurs défenses de périmètre, c’est-à-dire tous les contrôles de sécurité qu’ils utilisent pour essayer d’empêcher les logiciels malveillants d’être transmis à leurs ordinateurs en premier lieu. Il peut s’agir de choses telles que l’authentification à deux facteurs, les avertissements par e-mail pour le courrier externe et le filtrage des nouvelles clés USB ou d’autres périphériques connectés à votre système. Je pense qu’il devrait y avoir beaucoup de contrôles (surtout en ce moment, à un moment où beaucoup de gens travaillent à domicile) autour de l’accès à distance – les ordinateurs qui se connectent à votre système depuis l’extérieur de vos bureaux.

Un gros [defense] est ce que nous appellerions la segmentation du réseau: s’assurer que si un élément de l’infrastructure d’une entreprise est compromis et ciblé, il est très, très difficile de propager ce malware sur le réseau plus large. L’une des choses qui est assez frappante dans cette histoire est que le pipeline Colonial a fermé plus de 5 000 milles de pipeline. Cela, pour moi, suggère soit qu’une très grande partie de son système a été compromise, soit que [the company is] inquiet que cela puisse être très facilement. Idéalement, vous n’auriez pas un impact aussi important à partir d’un compromis initial.

Un autre élément consiste à réfléchir à la façon dont vous remettez les systèmes en marche et fonctionnent très rapidement, car lorsque vous avez affaire à une infrastructure critique, vous n’avez pas beaucoup de temps pour tout déconnecter. Il faut prendre beaucoup de décisions rapides. Il y a beaucoup à dire pour essayer d’exécuter des exercices d’essai et pour s’assurer qu’il y a un plan vraiment clair en place pour une situation comme celle-ci. Je pense aussi que cela fait partie de la découragement des rançons – pour que les gens se sentent comme «nous nous sommes formés pour cela; nous savons quoi faire », par opposition à« Nous n’avons jamais rien vu de tel. Je suppose que nous devons payer.

Au-delà des systèmes individuels, que devrait faire le gouvernement pour aider?

Je voudrais voir une interdiction beaucoup plus forte du paiement de la plupart des rançons. C’est mon avis; ce n’est pas l’opinion de tout le monde. Mais qu’est-ce que le gouvernement américain peut faire unilatéralement? Tenter d’en faire une entreprise moins rentable, à long terme, est l’une des mesures les plus efficaces que nous pourrions essayer de mettre en œuvre. [Cracking] sur la facilité avec laquelle ces rançons sont payées, la facilité avec laquelle elles sont couvertes par les assureurs, je pense, pourraient faire une grande différence en termes d’argent que ces criminels peuvent gagner – et donc combien d’entre eux entrent dans l’entreprise et utilisent cela comme moyen de profiter.

Que savons-nous de ces criminels? À quel point l’industrie des ransomwares est-elle rentable?

Nous savons que c’est rentable parce que nous savons que les gens continuent de le faire, et c’est en fait la meilleure indication que nous ayons que les gens continuent de gagner de l’argent. Mais exactement combien d’argent ils gagnent est très difficile à estimer de manière significative. Le groupe auquel le ransomware Colonial Pipeline a été attribué est une organisation criminelle qui se concentre beaucoup sur le ransomware en tant que service, mettant à la disposition des clients des outils et du code de ransomware pour diriger leurs propres attaques. Cela compte parce que cette organisation, DarkSide, développe cette activité non seulement comme un moyen de cibler des entreprises, mais également comme un moyen de faciliter la tâche d’autres criminels. Cela – encore une fois, sans avoir de données concrètes – témoigne un peu de l’ampleur de ce problème.

Aurions-nous plus de données fiables si les victimes devaient signaler les attaques de ransomware?

Une obligation de rapport nous aiderait à tout le moins à mieux comprendre l’ampleur et l’ampleur du problème. Lorsque nous faisons ces déclarations comme «Les ransomwares sont à la hausse» ou «2021 est la pire année pour les ransomwares à ce jour», nous aurions en fait des données plus difficiles derrière ce genre de généralisations. Mais je pense aussi que cela nous permettrait de mieux comprendre: quelles sont les marges bénéficiaires des criminels? Qui les paie? Combien est payé? Comment faire des ransomwares une entreprise moins rentable?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Recent News

Editor's Pick