Le gouvernement américain a décrété des mesures d’urgence, dimanche 9 mai, après qu’un logiciel malveillant a paralysé l’important réseau d’oléoducs géré par Colonial Pipeline. Ce réseau est une artère essentielle dans les infrastructures américaines : elle transporte plus de 2,5 millions de barils de pétrole par jour, des produits raffinés à destination des stations-service et des aéroports de tout l’est des Etats-Unis. Le département des transports a annoncé dans un communiqué une levée exceptionnelle de certaines restrictions pour permettre à l’entreprise de transporter ses carburants par d’autres voies, alors qu’une partie de ses oléoducs reste à l’arrêt.
Ce qu’il s’est passé
Un groupe de pirates a réussi, dès jeudi 6 mai, à s’introduire dans les réseaux informatiques de Colonial Pipeline et voler plus de cent gigaoctets de données. Le lendemain, les pirates ont paralysé certains ordinateurs de l’entreprise avec un logiciel et demandé à Colonial Pipeline une rançon, dont le montant reste inconnu, pour pouvoir à nouveau utiliser leur réseau d’oléoducs.
Très vite, l’entreprise a annoncé qu’elle avait fermé sa distribution afin de pouvoir réagir efficacement à l’attaque qui frappait ses réseaux informatiques. Colonial Pipeline assure que de nombreux systèmes ont été simplement mis hors ligne pour éviter que l’infection initiale ne se propage, mais que le virus n’a pas frappé les systèmes qui contrôlent directement les oléoducs et la distribution de carburants.
Tous les fichiers des ordinateurs touchés sont chiffrés, c’est-à-dire qu’ils sont illisibles et inutilisables par l’utilisateur
Le logiciel malveillant qui a frappé Colonial Pipeline est ce que l’on appelle un rançongiciel. Il s’agit d’un virus qui verrouille les ordinateurs et réseaux informatiques des entreprises qui en sont victimes. Tous les fichiers des ordinateurs touchés sont alors chiffrés, c’est-à-dire qu’ils sont illisibles et inutilisables par l’utilisateur. Les opérateurs de ces logiciels malveillants demandent alors une rançon en laissant une note sur les ordinateurs des victimes : en échange de cette rançon, qui peut se chiffrer en millions de dollars, ils promettent d’envoyer aux victimes une clé de déchiffrement censée leur permettre de récupérer l’usage de leur réseau.
Quelles conséquences sur le plan pétrolier ?
Ce virus peut-il avoir un impact sur le marché pétrolier ? Lundi matin, les cours du pétrole américain et européen, les indicateurs WTI et Brent, ont bondi de 4,2 %, avant de redescendre progressivement. Pour l’heure, les tradeurs semblent attendre d’en savoir plus sur la capacité de l’entreprise à faire repartir les opérations. Cet événement intervient alors que la demande américaine repart à la hausse, avec la progression de la vaccination et la forte reprise économique, et alors que le marché mondial du pétrole ne s’est pas encore complètement remis du blocage du canal de Suez en avril.
Colonial Pipeline, qui a remis en état de marche une petite partie de son réseau lundi matin, a affirmé dans un nouveau communiqué que l’entreprise espérait pouvoir « restaurer la majeure partie de ses opérations d’ici la fin de la semaine ». Cette remise en service aura lieu en plusieurs étapes, a annoncé Colonial Pipeline, tout en ajoutant que la situation restait fluctuante.
Les régions d’Atlanta puis de New York risquent de devoir faire face à une pénurie de carburant
Sans redémarrage rapide des opérations, les Etats-Unis vont se retrouver confrontés à deux problèmes, aux deux extrémités de l’oléoduc : les régions d’Atlanta puis de New York risquent de devoir faire face à une pénurie de carburant ainsi qu’à une très forte hausse des prix dans les stations-service. Les raffineries du Texas, elles, risquent à l’inverse de ne pas savoir quoi faire de leur stock : les réservoirs n’ont pas une capacité infinie, et ce type de situation ne s’est jamais présenté sur le long terme. Les tradeurs et les armateurs sont déjà en quête de solutions pour faire évacuer le pétrole par bateau – une voie difficile à mettre en œuvre compte tenu des contraintes réglementaires américaines.
Qui sont les suspects ?
Selon les autorités fédérales américaines, le rançongiciel DarkSide, développé et distribué par un groupe criminel bien connu, est à l’origine de l’attaque qui a frappé Colonial Pipeline. Ce groupe pratique généralement ce que l’on appelle la « double extorsion » : en plus de demander une rançon à leurs victimes, ces cybercriminels publient au compte-gouttes sur un site des données volées aux entreprises ciblées, en affichant un compte à rebours à l’issue duquel toutes les données confidentielles volées seront diffusées publiquement.
Le groupe DarkSide est un « ransomware as a service », c’est-à-dire que les opérateurs du logiciel malveillant le louent à d’autres pirates, appelés « affiliés », qui mènent eux-mêmes les attaques, et peuvent verser une part de leurs bénéfices aux créateurs du rançongiciel. Lundi, DarkSide a publié un étrange message sur son site, confirmant son implication dans la paralysie des oléoducs, sans citer l’entreprise. Dans ce message, les opérateurs rejettent la responsabilité de cette attaque sur des « affiliés », alors que plusieurs autorités fédérales surveillent au plus près l’évolution de cette crise.
DarkSide revendique aujourd’hui des dizaines de victimes
DarkSide a annoncé sa création en août 2020, en se présentant comme un groupe de vétérans de la cybercriminalité. « Nous avons fait des millions de dollars de profit en travaillant en partenariat avec des rançongiciels connus. Nous avons créé DarkSide parce que nous n’avions pas encore trouvé le produit parfait : maintenant nous l’avons », expliquait alors le groupe de pirates dans un communiqué. DarkSide revendique aujourd’hui des dizaines de victimes, dont beaucoup d’entreprises américaines, comme la société cotée en Bourse The Dixie Group. Le FBI a annoncé lundi 10 mai que le groupe faisait l’objet d’une enquête depuis octobre 2020.
Dans la nuit du 10 au 11 mai, plusieurs entreprises privées, aidées par les autorités américaines, ont réussi à fermer plusieurs serveurs utilisés par DarkSide pour communiquer avec les réseaux informatiques de ses victimes et exfiltrer les données volées, selon le site Bloomberg. Cette opération aurait permis de récupérer des données volées à Colonial Pipeline et reposant sur ces serveurs.
Un groupe nébuleux mais expérimenté
DarkSide ressemble à s’y méprendre à de nombreux autres groupes criminels pratiquant l’extorsion informatique. On compte aujourd’hui plus d’une dizaine d’opérateurs importants de rançongiciels dans le monde, et comme la grande majorité d’entre eux, DarkSide ne semble pas cibler les entreprises situées en Russie et dans les pays de l’ex-Union soviétique.
Si DarkSide affirme ne pas s’attaquer aux hôpitaux, le site revendique une assurance de santé américaine parmi ses victimes
Le groupe assure par ailleurs ne pas s’attaquer aux hôpitaux, aux écoles et aux ONG, des affirmations courantes venant d’opérateurs de rançongiciels, et qui sont la plupart du temps démenties par les faits. Dans le cas de DarkSide, l’entreprise Kaspersky a révélé un cas de tentative d’extorsion visant des écoles et liée au groupe criminel, et si DarkSide affirme ne pas s’attaquer aux hôpitaux, le site revendique une assurance de santé américaine dans la liste de ses victimes.
Si l’on sait peu de choses à propos de DarkSide, plusieurs experts interrogés par le site spécialisé Bleeping Computer l’été 2020 avaient découvert des éléments techniques dans le code du rançongiciel similaires au code et aux méthodes utilisés par d’autres opérateurs bien connus, comme GandCrab et REvil.
Comme rappelé par le site spécialisé MagIT, l’entreprise de sécurité informatique Bitdefender avait publié, en début d’année, un logiciel de déchiffrement à destination des victimes de DarkSide. Le groupe avait immédiatement répliqué, assurant que le code du rançongiciel avait été mis à jour pour empêcher ces clés de déchiffrement de fonctionner.
Plusieurs attaques contre des infrastructures énergétiques
Le secteur de l’énergie est surveillé de près, depuis plusieurs années, en raison des craintes que font peser les risques d’attaques informatiques. En février 2020, un réseau d’oléoducs américain, dont le nom n’avait pas été dévoilé, avait été contraint de cesser ses opérations pendant deux jours en raison d’un rançongiciel qui avait frappé son réseau informatique.
Sur les sites des principaux opérateurs de rançongiciel, plusieurs attaques contre des entreprises du secteur de l’énergie ont été revendiquées récemment. En remontant quelques années plus tôt, la vague mondiale créée par le rançongiciel WannaCry en 2017 avait notamment frappé des entreprises de ce secteur dans plusieurs pays, dont l’Inde et l’Espagne. Dans un récent article du Wall Street Journal, plusieurs experts estiment que les sociétés de l’énergie, notamment aux Etats-Unis, n’étaient pas encore prêtes à affronter des attaques informatiques de grande ampleur.
Contribuer
Réutiliser ce contenu