Après quelques jours d'hésitations, Colonial Pipeline aurait payé une rançon de 75 bitcoins (soit 5 millions de dollars) au gang Darkside. Ironiquement, le paiement n'a joué qu'un rôle infime dans la reprise de son activité.

Paiera, paiera pas ? À chaque attaque rançongiciel, le même questionnement revient. Colonial Pipeline, l’oléoduc responsable de l’acheminement de 45 % des carburants de la côte est des États-Unis a été victime du gang Darkside le 7 mai. Forcément, elle a dû faire face à ce dilemme.

Le lendemain, l’entreprise a pris la décision d’arrêter toute activité le temps de contrôler l’attaque. De quoi affoler les marchés financiers, mais aussi de déclencher un plan d’urgence, piloté par les plus hautes autorités fédérales (Maison-Blanche, FBI, Cisa).

Les premiers jours de cette situation de crise, Reuters et le Washington Post avaient rapporté que Colonial Pipeline écartait la possibilité de payer ses rançonneurs. C’est d’ailleurs le conseil généralement avancé par les autorités, dont le FBI. Payer la rançon implique de faire confiance aux cybercriminels, sans être sûr qu’ils respecteront leur parole. Surtout, cet argent récompense leur méfait et finance le développement de méthodes d’attaques toujours plus sophistiquées. C’est grâce à l’argent des rançons que les gangs sont devenus si puissants aujourd’hui et qu’ils sont désormais capables de s’en prendre aux plus grandes multinationales.

Un des sites de Colonial Pipeline. // Source : YouTube-Colonial Pipeline

Malgré cette volonté initiale, jeudi 13 mai, Bloomberg puis CNN et le New York Times ont révélé que Colonial Pipeline avait finalement cédé au chantage. La veille, l’entreprise avait relancé la totalité de son activité, signe que son problème informatique était résolu. Elle aurait payé 5 millions de dollars (soit 75 bitcoins d’après le NYT)  à ses rançonneurs. Comme d’habitude, ni la victime ni les autorités n’ont commenté le sujet du paiement de la rançon, et aucun détail n’a fuité sur la chronologie des événements. Souvent, le montant de la rançon, bien que très élevée, est inférieur au coût d’une reprise de l’activité sans l’aide des cybercriminels. Les victimes et leurs assureurs ont donc un intérêt à payer, d’un point de vue purement financier.

Un paiement (presque) inutile

Mais le comble de l’histoire de Colonial Pipeline, comme le relève Bloomberg, c’est que le paiement de la rançon a pratiquement été inutile dans la relance de l’activité. Le groupe a tenu sa parole et fourni à sa victime un décrypteur pour inverser les dégâts du rançongiciel. Sauf que l’outil s’est avéré tellement lent que restaurer les données à partir des sauvegardes était plus rapide. Et ce n’est pas tout : une coalition d’entreprises privées et de forces de l’ordre a réussi à saisir un serveur américain utilisé par les hackers pour stocker les données volées  avant de les envoyer vers l’Europe. Colonial Pipeline a ainsi pu récupérer un important volume de ses données les plus sensibles.

Autrement dit, le paiement de la rançon n’a pas résolu la partie rançongiciel de l’attaque. Mais ce n’est pas pour autant qu’il a forcément été inutile. La majorité des gangs rançongiciel, dont Darkside, opère un double chantage : en plus de la paralysie du système informatique, ils menacent de publier les informations qu’ils ont dérobées. On ne peut que supposer que le paiement avait donc pour objectif de répondre à cette menace de fuite de données.

Les carburants pouvaient être acheminés

La reprise extrêmement rapide de l’activité de Colonial Pipeline s’explique aussi par le fait que l’infrastructure de l’oléoduc en elle-même n’a pas été affectée par l’attaque. La journaliste Kim Zetter et CNN ont précisé que l’attaque a simplement touché un serveur chargé de mesurer le volume de carburant envoyé à chaque client et  de générer une facture automatiquement. Sans ce serveur, et sans dispositif manuel pour prendre le relai, Colonial Pipeline aurait pu continuer à approvisionner ses clients, mais sans pouvoir estimer avec précision le coût des opérations.  Une fois le logiciel de facturation remis sur pied, l’entreprise a pu redémarrer.

Crédit photo de la une : YouTube - The Briefcase

À propos de CyberGhost

CyberGhost, annonceur exclusif de Cyberguerre, est un fournisseur de VPN premium aux tarifs accessibles. Il dispose de milliers de serveurs sécurisés répartis à travers le monde, permettant de délocaliser son adresse IP et de contourner les géoblocages. CyberGhost ne conserve aucune trace de l'activité des utilisateurs. Son application VPN est disponible sur tous les systèmes d’exploitation et appareils connectés et se révèle la plus facile d'accès du marché.

En savoir plus sur la solution VPN de CyberGhost

Partager sur les réseaux sociaux