L’attaque du ransomware par le pipeline colonial et les dangers des infrastructures privées

Vues: 7
0 0
Temps de lecture:8 Minute, 50 Second

Le 8 mai, je venais de voler à Norfolk, en Virginie, lorsque la nouvelle a éclaté que le système informatique de la Colonial Pipeline Company avait été compromis par un ransomware et, par conséquent, la société avait fermé le flux du pipeline qui fournit du pétrole à la plupart de l’est des États-Unis. C’était le week-end de la fête des mères et la file d’attente au comptoir de location de voitures de l’aéroport était prodigieuse: tout le monde, semblait-il, voulait conduire. Quand j’ai finalement atteint l’avant, j’ai assuré à l’agent que je rendrais la voiture avec un réservoir plein d’essence. Ce que je ne savais pas encore, c’est que le pipeline, qui s’étend du golfe du Texas à Linden, New Jersey – une distance de cinq mille cinq cents milles – était le principal fournisseur de carburant des détaillants de Virginie. Le gouverneur, Ralph Northam, a fait valoir ce point trois jours plus tard lorsque, avec le pipeline toujours hors ligne, il a déclaré l’état d’urgence.

Bien sûr, à ce moment-là, quiconque conduisant en Virginie l’aurait compris. De nombreuses stations-service ont été fermées et des files de voitures ont encombré celles qui ne l’étaient pas. «Cela ressemble aux années soixante-dix», a déclaré ma mère, alors que nous tournions au ralenti dans l’une des lignes, derrière un homme sans voiture portant une cruche en plastique. À Washington, Président Biden exhortait les propriétaires de stations-service à ne pas gruger les prix. «Ce n’est pas qui nous sommes», dit-il – et pour la plupart, il semblait avoir raison. Là où j’étais, au moins, les prix de l’essence sont restés inférieurs à trois dollars le gallon, malgré la forte demande, due en grande partie à des achats de panique.

Mais si ce n’est pas ce que nous sommes, c’est: nous sommes un pays qui a vu près d’un millier d’attaques de ransomwares signalées sur nos infrastructures critiques depuis 2013. Cela comprend les services de transport, les installations de traitement des eaux usées, les systèmes de communication et les hôpitaux. Le coût moyen de récupération d’une attaque de ransomware pour les entreprises est d’environ deux millions de dollars. Et les dégâts ne sont pas seulement financiers. La cyberattaque de l’automne dernier contre le centre médical de l’Université du Vermont en est un bon exemple. Non seulement on estimait que cela coûtait un million et demi de dollars par jour en pertes de revenus et en dépenses de remise en état, mais cela a également amené l’hôpital à mettre temporairement à pied ou à réaffecter trois cents employés, à interrompre la plupart des chirurgies et à annuler ou reporter certains traitements, y compris ceux pour le cancer. Le vice-président de l’informatique réseau de l’hôpital, Doug Gentile, a déclaré que son équipe n’avait pas ouvert un lien contenant vraisemblablement une note de rançon car ils n’avaient pas l’intention de céder aux pirates. (Au lieu de cela, ils ont contacté le FBI) ​​Ce n’était pas inhabituel. L’année dernière, environ les trois quarts des victimes de ransomware n’ont pas payé leurs attaquants. Ceux qui l’ont fait ont constaté que les pirates n’ont restauré, en moyenne, que soixante-cinq pour cent des données qu’ils avaient détournées.

Colonial, il s’est avéré, a décidé de payer. Au moment où la société a annoncé le piratage, le 8 mai, elle avait déjà transféré cinq millions de dollars de bitcoin sur un compte qui, selon le FBI, appartenait à un gang criminel basé en Europe de l’Est. (Biden dit plus tard que les pirates étaient peut-être en Russie.) Même ainsi, le paiement n’a pas automatiquement réactivé le robinet. Cela ne s’est pas produit pendant encore cinq jours. Si le pipeline était resté fermé pendant encore trois ou quatre jours, selon les départements de la sécurité intérieure et de l’énergie, la pénurie de carburant diesel qui en résultait aurait interrompu les expéditions de nourriture et d’autres marchandises cruciales à travers le pays.

Vous pourriez supposer que le gouvernement aurait anticipé les effets paralysants d’exactement ce genre de cyberattaque et établi un rempart de protections pour s’assurer qu’une telle chose ne pourrait pas se produire. En 2015, président ObamaDHS a fait désigner les barrages, la défense, l’agriculture, les soins de santé et douze autres secteurs de l’économie en tant qu ‘«infrastructures essentielles», sens qu’ils «sont si vitaux pour les États-Unis que leur incapacité ou leur destruction aurait un impact débilitant sur notre sécurité physique ou économique ou notre santé ou notre sécurité publique.» Mais cette désignation était descriptive et non défensive: le DHS a publié des directives de cybersécurité à ces secteurs, mais, comme de nombreuses entreprises exploitant des infrastructures critiques sont privées, elles étaient libres de les ignorer.

Quatre-vingt pour cent du secteur de l’énergie, qui comprend les pipelines, la production d’électricité et le réseau électrique, est privé. Le «plan spécifique à l’énergie» du DHS, également de 2015, a noté que «en raison de la responsabilité partagée de sécuriser les systèmes de fourniture d’énergie en Amérique du Nord contre les cybermenaces, une vision et un cadre communs sont nécessaires pour guider les partenariats public-privé. Mais cette vision et ce cadre n’existent pas.

Pendant des années, les entreprises ont résisté aux efforts du gouvernement fédéral pour les contraindre à respecter des normes de cybersécurité rigoureuses ou pour signaler des cyberattaques. Ils soutiennent généralement que de telles exigences seraient d’un coût prohibitif et préjudiciables à l’identité de la marque, car les marques perdraient la confiance des consommateurs. Les entreprises ont également été bloquées par une pénurie de talents en cybersécurité dans ce pays. Colonial, par exemple, avait annoncé une position ouverte en matière de cybersécurité pendant au moins un mois avant l’attaque du ransomware. (Un porte-parole de l’entreprise Raconté l’Atlanta Journal-Constitution que le fait de pourvoir le poste n’aurait pas fait de différence dans ce cas.)

En fait, en 2018, un audit externe de Colonial Pipeline a révélé des pratiques de gestion de l’information «atroces» et «un patchwork de systèmes mal connectés et sécurisés». (Un de ses auteurs Raconté l’Associated Press selon lequel «un élève de huitième aurait pu pirater ce système». Colonial a répondu: «Nous évaluons et améliorons constamment nos pratiques de sécurité, tant physiques que numériques.») Malheureusement, l’entreprise n’est pas une valeur aberrante. En 2019, un chercheur européen en cybersécurité, utilisant des outils open source accessibles à tous, a identifié et cartographié l’emplacement de vingt-six mille systèmes de contrôle industriel à travers les États-Unis dont les configurations Internet les ont exposés et vulnérables aux attaques. Celles-ci comprenaient des barrages, des centrales électriques et des entreprises chimiques. Et, bien que Colonial ait affirmé que son système informatique était séparé du logiciel utilisé pour exploiter le pipeline, le fait que la société ait fermé le pipeline dès qu’elle a découvert le piratage le suggère, comme le suggère le Fois journalistes Nicole Perlroth et David Sanger a écrit, que les deux systèmes étaient plus étroitement liés que la société ne l’admettait.

Le piratage du pipeline colonial était la deuxième cyberattaque majeure à laquelle l’administration Biden a dû faire face. (Il y a eu également un piratage de ransomware du département de la police métropolitaine de Washington, DC, fin avril, qui a conduit les pirates informatiques à divulguer les informations personnelles de vingt-deux policiers.) Bien que le premier, qui utilisait le Géant informatique SolarWinds, s’est effectivement produit pendant la Administration Trump, il n’a été découvert qu’en décembre 2020, quelques semaines à peine avant l’assermentation de Biden. À l’époque, le président élu a fustigé son prédécesseur pour ne pas avoir donné la priorité à la cybersécurité et a déclaré que son administration répondrait probablement «en nature» à la Russie, dont l’agence de renseignement étranger, le SVR, semble être à l’origine de l’attaque. Cela a pris des mois, mais le 15 avril, Biden a publié un décret en imposant des sanctions à un certain nombre d’entreprises et de particuliers russes pour ce qu’il a appelé «les activités étrangères nuisibles du gouvernement russe».

Contrairement au cas impliquant SolarWinds, l’attaque contre Colonial Pipeline ne semble pas être parrainée par l’État. Biden a déclaré cela dans ses remarques sur le piratage, et les pirates eux-mêmes ont fait la même déclaration, affirmant qu’ils ne recherchaient que de l’argent et n’avaient aucun intérêt à influencer la géopolitique. Mais influencer la géopolitique est exactement ce qu’ils ont accompli, en illustrant à nos adversaires – et à un certain nombre de criminels de droit commun et de nations voyous – à quel point il est facile de bouleverser la vie quotidienne américaine. L’espoir que d’autres nations seront dissuadées d’attaquer nos infrastructures essentielles par la menace que les États-Unis leur font de même devient moins convaincant lorsque nous comprenons que les gangs criminels opérant à partir de ces pays, souvent avec la bénédiction de leurs gouvernements, peuvent ne pas être si circonspect. Et ces gangs donnent à ces gouvernements le bouclier d’un déni plausible.

Le 12 mai, Biden a publié un autre ordre exécutif. Cela prenait des mois, mais l’annonce était extrêmement bien faite, car le pipeline de la côte Est était revenu à la vie moins d’une heure plus tôt. (Il a fallu plusieurs jours, cependant, avant que des livraisons de carburant suffisantes puissent être effectuées pour ramener les choses à la normale.) «Une grande partie de notre infrastructure essentielle nationale appartient et est exploitée par le secteur privé, et ces entreprises du secteur privé prennent leur propre décision concernant la cybersécurité investissements », a déclaré une fiche d’information de la Maison Blanche, reconnaissant que Biden n’était pas moins entravé par la propriété privée d’infrastructures critiques que les présidents précédents. Néanmoins, l’ordonnance, qui s’adresse en grande partie aux agences fédérales et à leurs sous-traitants, les obligeant à se conformer à une multitude de nouvelles réglementations strictes en matière de cybersécurité et d’exigences en matière de rapports, est une solution intelligente et significative au problème. De nombreux services cloud et progiciels utilisés par les agences gouvernementales sont également utilisés dans le secteur privé. En exigeant que «tous les systèmes d’information fédéraux satisfassent ou dépassent les normes et exigences de cybersécurité énoncées et émises en vertu de cet arrêté», le président crée les conditions pour que ces normes et exigences soient adoptées plus largement. C’est comme les normes d’émissions automobiles: lorsque la Californie a relevé ses normes, douze autres états a décidé d’adopter ces exigences, et cinq constructeurs automobiless ont accepté de concevoir toutes leurs nouvelles voitures pour les rencontrer. Quelque chose de similaire est susceptible de se produire ici aussi. «Le gouvernement fédéral doit montrer l’exemple», a déclaré Biden.

#Lattaque #ransomware #par #pipeline #colonial #les #dangers #des #infrastructures #privées

À propos de l\'auteur de l\'article

Dernières nouvelles

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *