Le rançongiciel Darkside a touché un gros poisson : Colonial Pipeline, l'entreprise gestionnaire du plus gros oléoduc des États-Unis. Résultat : il ne transporte plus de carburants, ce qui a mené au déclenchement d'un état d'urgence sur toute la côte Est, et une intervention des plus hautes autorités du pays. De quoi effrayer les cybercriminels ?

La côte est des États-Unis fait face à une pénurie d’essence et de gasoil inhabituelle. La raison ? Colonial Pipeline a subi une cyberattaque. Cette entreprise achemine 45 % du pétrole raffiné de la région sur près de 9 000 kilomètres d’oléoducs entre le Texas et le New Jersey, et peut transporter l’équivalent de 3 millions de barils par jour.

Plus précisément, Colonial Pipeline est victime d’un rançongiciel, un logiciel malveillant qui a paralysé une large partie de son réseau informatique. Et cette paralysie informatique s’est immédiatement traduite en paralysie logistique : les oléoducs ne transportent plus d’essence depuis le 8 mai 2021.

Le site de Colonial Pipeline est hors ligne à cause de l’attaque. // Source : Capture d’écran Numerama

L’incident concerne 17 États américains ainsi que Washington D.C. Le pouvoir fédéral a déclenché un état d’urgence, et le FBI, la Maison-Blanche et le Cisa (la branche cyber du Department of Homeland Security) s’attèlent désormais à la résolution du dossier.

Que s’est-il passé ?

D’après Bloomberg, la cyberattaque aurait démarré le jeudi 6 mai. Dans un premier temps, les malfrats auraient exfiltré plus de 100 gigaoctets de données de l’entreprise. Puis, le lendemain, ils ont déployé leur rançongiciel, destiné à chiffrer tous les systèmes informatiques de leurs victimes. Une fois qu’un programme est chiffré, il ne fonctionne plus : ce peut être un gestionnaire des adresses email de l’entreprise, un logiciel en charge de la sécurité de l’infrastructure ou encore un autre qui contrôle l’ouverture et la fermeture des valves. Bref : les machines ne fonctionnent plus, et les moyens de communication de l’entreprise sont hors service.

Dans ces situations, les malfrats proposent d’inverser le chiffrement contre le paiement d’une rançon. Son montant n’est pas connu, mais dans d’autres situations, les gangs n’hésitent pas à demander des millions de dollars, à régler en cryptomonnaies. Si la victime paie, les cybercriminels lui offrent un outil de déchiffrement. Sans ce précieux sésame, la victime n’a d’autre choix que de nettoyer et réinitialiser son système, puis de le restaurer à partir des sauvegardes. Un travail long, laborieux et onéreux.

Qui a lancé la cyberattaque ?

Le 10 mai, le FBI a confirmé l’attribution de l’attaque au gang Darkside dans un communiqué succinct, puis l’organisation cybercriminelle s’est elle-même exprimé sur le sujet sur son blog — accessible uniquement sur le réseau Tor.

Darkside, comme la grande majorité des gangs, est un « ransomware-as-a-service ». Autrement dit, le nom « Darkside » désigne deux types de personnes :

  • D’un côté, les développeurs du code du programme malveillant. Ce sont eux qui s’expriment sur le blog du gang et ce sont eux qui déterminent d’éventuelles limites éthiques à leurs activités. Aussi appelés « opérateurs », les membres de ce noyau central de l’organisation s’occupent de la négociation de la rançon avec les victimes.
  • De l’autre, les « affiliés », sortes de sous-traitants de l’organisation. Sélectionnés par les opérateurs, ils sont chargés de diffuser le rançongiciel Darkside. Les développeurs leur fournissent le logiciel malveillant, mais c’est à eux de se débrouiller pour le déployer sur le réseau de leurs victimes. Pour s’y introduire,  ils achètent des identifiants de connexion à d’autres organisations criminelles, lancent des phishings, ou encore, ils empruntent des failles logicielles connues. Un affilié peut travailler avec différents gangs, mais il privilégiera le rançongiciel le plus efficace ou celui qui lui offrira la meilleure répartition des gains. Quand une victime paie la rançon, les opérateurs gardent généralement entre 20 et 40 % du butin, puis distribuent le reste à l’affilié qui a réussi la cyberattaque.

Vers un mea culpa des cybercriminels ?

C’est ici que l’affaire Colonial Pipeline se complexifie. Si un affilié de Darkside a bien lancé la cyberattaque, il est possible que les opérateurs de Darkside n’aient connu l’identité de la victime qu’après le déploiement du rançongiciel. Du moins, c’est ce qu’ils laissent penser. « Notre objectif est de faire de l’argent, pas de créer des problèmes pour la société. À partir d’aujourd’hui, nous introduisons une modération et une vérification de chaque entreprise que nos partenaires veulent chiffrer, dans le but d’éviter des conséquences sociales dans le futur », écrit le gang sur son blog. À demi-mot, l’opérateur rejette la faute de la cyberattaque sur l’affilié, et essaie de se dédouaner de toute mauvaise intention. De là à y voir un mea culpa ? Comme le suggère le Bleeping Computer, le gang a l’option de déchiffrer gratuitement s’il veut vraiment faire preuve de bonne foi — un événement rare, mais pas inédit.

Ce n’est pas la première fois que le gang avance de prétendues limites éthiques. En janvier, il avait déclaré qu’il éviterait d’attaquer les établissements de santé (régulièrement visés par les rançongiciels), les entreprises impliquées dans le développement et la distribution des vaccins contre le covid ou encore aux entreprises funéraires. Par la suite, il avait fait des dons à deux œuvres de charité, qui les avaient refusés quand elles avaient découvert leur provenance.

Darkside fait partie des figures émergentes du milieu, mais reste bien en deçà des organisations les plus réputées comme REvil, Ryuk ou Egregor. Il faut dire que l’organisation est récente : les premières traces de son activité remontent à août 2020. Si pendant ces quelques mois, le gang a marqué quelques coups, il s’est surtout distingué par sa communication relativement abondante pour une organisation cybercriminelle. Début avril par exemple, il expliquait qu’il organiserait de la spéculation à la baisse contre ses victimes cotées en Bourse.

Pourquoi la Russie est-elle mentionnée ?

Habituellement les attaques contre des infrastructures de cette ampleur sont plutôt l’apanage des APT, ces groupes de hackers d’élite commandités par un État, aux objectifs plus stratégiques que financiers. Alors forcément, des rumeurs ont circulé sur l’implication du Kremlin dans l’attaque. Le pouvoir russe a déjà orchestré en 2020 une vaste campagne de cyberespionnage contre le gouvernement américain, symbolisée par l’affaire SolarWinds.

Joe Biden confronte déjà la Russie au sujet de l’affaire SolarWinds. // Source : CCO/Gage Skidmore

Mais la Maison-Blanche a déclaré devant des journalistes américains, dont ceux de The Record Media, qu’aucune preuve ne venait appuyer ces soupçons. Ce n’est pas pour autant que l’exécutif américain exempte son homologue russe de tout reproche, alors que la situation diplomatique entre les deux pays s’envenimait déjà. « Jusqu’ici notre renseignement n’a trouvé aucune preuve qui indiquerait une implication de la Russie, même s’il y a des preuves que le rançongiciel est basé en Russie », a déclaré le président Joe Biden, avant d’ajouter « ils [la Russie] ont la responsabilité d’adresser la situation ».

De leur côté, les opérateurs de Darkside ont nié toute liaison avec le pouvoir russe : « Nous sommes apolitiques, nous ne participons pas à la géopolitique, pas besoin de nous lier avec un gouvernement défini ou de nous trouver d’autres motivations que le gain d’argent  ». Reste que le rançongiciel est codé de sorte à épargner les systèmes russophones… comme de nombreux autres malwares. C’est un contrat implicite assez répandu : les cybercriminels n’attaquent pas les entreprises de la sphère d’influence russe, et en échange, le pouvoir russe ignore leurs méfaits.

Comment les autorités réagissent-elles à la cyberattaque ?

Peu après la découverte des faits, les autorités américaines ont organisé une contre-attaque. D’après Bloomberg, une coalition d’entreprises privées et d’agences américaines (FBI, Cisa…) a réussi, le 8 mai, à saisir des serveurs appartenant aux cybercriminels. À l’intérieur, les données de Colonial Pipeline, mais aussi de «  plus de deux douzaines de victimes » de Darkside.

Le site américain explique que ces serveurs, situés sur le territoire américain, servaient de relai avant l’envoi des données des victimes vers la Russie, leur destination finale.  Autrement dit, les autorités espèrent avoir arrêté la fuite de données avant qu’il ne soit trop tard, et Colonial Pipeline a pu récupérer une partie de ses précieuses informations.

Il faut espérer que la crise causée par le rançongiciel se résolve au plus vite. Comme l’explique le Computer Weekly, la cyberattaque pourrait déclencher un effet domino sur le marché du pétrole, mais aussi des retards dans les livraisons si la pénurie venait à se prolonger. De son côté, Colonial Pipeline a indiqué qu’il travaillait à la restauration de son système, et il espère reprendre une activité au moins partielle dans les jours à venir.

Crédit photo de la une : YouTube-Colonial Pipeline

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux