Quel est la dernière cyberattaque marquante selon vous ?
Sans aucun doute celle opérée contre Colonial Pipeline début mai. L’entreprise, qui gère un grand réseau d’oléoducs aux Etats-Unis, a dû interrompre temporairement son activité à la suite de cette attaque. Non sans provoquer des difficultés d’approvisionnement de pétrole, certes provisoires, sur la côte Est des Etats-Unis. Les hackers ont en effet réussi à s’introduire dans le réseau informatique de l’entreprise, à voler plus de 100 gigaoctets de données avant de paralyser certains ordinateurs. Le logiciel malveillant responsable de l’attaque est ce qu’on appelle un rançongiciel : il permet de crypter les fichiers, les rendant inutilisables, sauf à payer pour obtenir la clé de déchiffrement. Les montants demandés, proportionnés à la taille de l’entreprise, peuvent se chiffrer en millions d’euros.
Comment a réagi Colonial Pipeline ?
D’un point de vue technique, ils ont mis hors ligne un certain nombre de leurs systèmes pour éviter que le virus ne se propage. Une réponse adaptée dans de telles circonstances. Le virus n’a ainsi pas touché les systèmes qui gèrent la distribution de carburant. Ils ont par ailleurs officiellement payé 4,4 millions de dollars aux pirates informatiques. Un montant relativement modeste qui interroge et un paiement qui n’a pas pu régler complètement la situation : l’outil fourni par les hackers n’a pas permis de restaurer dans sa totalité le système informatique.
Que sait-on des auteurs de cette intrusion ?
Le virus a été conçu par le groupe criminel DarkSide dont la réputation n’est plus à faire depuis son apparition à l’été 2020. Il utilise des outils très perfectionnés, ce qui prouve qu’il dispose d’informaticiens de haut niveau. Son fonctionnement s’opère sous la forme d’un « ransomware as a service ». En d’autres termes, il a un réseau d’affiliés, issus du darkweb, qui loue son logiciel malveillant. C’est un groupe puissant, organisé, avec des règles imposées à ses utilisateurs et une véritable politique commerciale, y compris des formations ! Par certains côtés, il ne fonctionne pas différemment d’un éditeur légal. A côté de cela, avec ses affiliés, il pratique une triple extorsion : il vole les données, demande une rançon à l’entreprise victime, et va jusqu’à extorquer les tiers de cette dernière. C’est parfaitement immoral mais rudement efficace.
Depuis quel pays DarkSide opère-t-il ?
On pense avec une grande chance de ne pas se tromper qu’il agit depuis le territoire russe. Comme la plupart des groupes criminels de même nature. Il ne cible d’ailleurs pas les entreprises situées en Russie ou dans les pays de l’ex U.R.S.S. C’est tout sauf un hasard. Il est manifeste que les autorités russes laissent ces organisations se livrer à leurs activités criminelles dès l’instant où elles ne font pas de victimes sur leur territoire. Il y a probablement des liens, ou en tout cas des échanges, entre ces groupes de cybercriminels et les services russes.
Rien ne peut donc être fait contre leurs agissements ?
Je ne dirais pas ça. D’abord il semblerait que certains services, dont on ignore l’identité, aient contre-attaqué en prenant le contrôle des serveurs de DarkSide et en faisant main basse sur son fonds en bitcoins. A moins que ce soient les « dirigeants » de DarkSide qui aient eux-mêmes décidé de se saborder avant de rencontrer des problèmes. Ils ont en tout cas mis en cause un de leurs affiliés dans l’opération contre Colonial Pipeline, preuve qu’ils n’approuvent pas cette attaque, beaucoup trop visible à leurs yeux et les exposant de manière déraisonnable. Avec d’autres cybercriminels, ils cherchent aujourd’hui à faire profil bas. Ce qui ne veut pas dire que l’activité de cybercriminalité va perdre de sa virulence. Le rançongiciel a hélas encore de beaux jours devant lui.
Mais les entreprises peuvent-elles se protéger contre ces logiciels malveillants ?
Elles le peuvent et elles le doivent ! Il peut en aller de leur survie. Elles conservent évidemment l’option de payer les rançons. Hélas ce n’est pas la certitude que tout reviendra en ordre : 22% des organisations victimes ayant payée la somme demandée n’ont jamais reçu les clés de déchiffrement ! En revanche, c’est permettre à coup sûr à ces groupes de prospérer, s’étendre, gagner en puissance. Ce n’est donc pas la bonne solution. Le mieux est de rendre ses attaques inefficaces, ou en tout cas limitées. Bien sûr aucune protection n’est certaine à 100%. Mais elles permettent bien souvent de limiter les dégâts. Il est donc essentiel que les entreprises, mais aussi les administrations, les hôpitaux, les associations etc, se protègent avec la palette d’outils à leur disposition.