Des pirates informatiques ont utilisé une attaque de ransomware pour fermer un important oléoduc américain pendant plusieurs jours, forçant l’administration Biden à déclarer l’état d’urgence régional pour maintenir une partie de l’approvisionnement en pétrole jusqu’à ce que l’oléoduc puisse à nouveau fonctionner. La cyberattaque semble être le le plus grand jamais sur un système énergétique américain, et encore un autre exemple de vulnérabilités en matière de cybersécurité que le président Biden a promis de remédier.
La Colonial Pipeline Company a rapporté le 7 mai qu’elle avait été victime d’une «attaque de cybersécurité» qui «implique un ransomware», obligeant l’entreprise à mettre certains systèmes hors ligne et à désactiver le pipeline. L’entreprise basée en Géorgie dit il exploite le plus grand oléoduc des États-Unis, transportant 2,5 millions de barils par jour d’essence, de diesel, de mazout et de carburéacteur sur sa route de 5 500 milles entre le Texas et le New Jersey.
Le gazoduc fournit près de la moitié de l’approvisionnement en carburant de la côte Est, et un arrêt prolongé pourrait entraîner des hausses de prix et des pénuries. ondulation à travers l’industrie. Colonial a déclaré lundi qu’il espérait «restaurer substantiellement» ses opérations d’ici la fin de la semaine et minimiser les perturbations causées par la fermeture. Selon le Washington Post, un arrêt d’une semaine pourrait entraîner une légère augmentation temporaire des prix de l’essence.
Le FBI a confirmé que le ransomware utilisé est lié au groupe de hackers appelé DarkSide, censé être basé en Europe de l’Est. DarkSide ne semble être lié à aucun État-nation, dire dans une déclaration que «notre objectif est de gagner de l’argent, [not to create] problèmes pour la société »et qu’elle est apolitique.
Cependant, selon la société de cybersécurité Check Point, DarkSide fournit ses services de ransomware à ses partenaires. « Cela signifie que nous en savons très peu sur le véritable acteur de la menace derrière l’attaque de Colonial, qui peut être l’un des partenaires de DarkSide », a déclaré à Recode Lotem Finkelstein, responsable du renseignement sur les menaces chez Check Point. «Ce que nous savons, c’est que mettre fin à des opérations de grande envergure comme le pipeline Colonial révèle une cyberattaque sophistiquée et bien conçue.»
On ne sait pas combien d’argent les pirates demandent, ni combien, le cas échéant, Colonial a payé – en supposant qu’il soit prêt à payer quoi que ce soit.
Les attaques de ransomwares utilisent généralement des logiciels malveillants pour exclure les entreprises de leurs propres systèmes jusqu’à ce qu’une rançon soit payée. Ils ont augmenté ces dernières années et coûter des milliards de dollars en rançons payé seul – sans compter ceux qui ne sont pas signalés et les coûts associés à la mise hors ligne des systèmes jusqu’à ce que la rançon soit payée. Les attaques de ransomwares ont ciblé tout, des entreprises privées au gouvernement en passant par les hôpitaux et les systèmes de soins de santé. Ces derniers sont des cibles particulièrement attractives, compte tenu de l’urgence de remettre leurs systèmes en service le plus rapidement possible.
Systèmes énergétiques et fournisseurs ont également été la cible de ransomwares et de cyberattaques. La cybersécurité de l’infrastructure énergétique américaine a été une préoccupation particulière ces dernières années, avec l’administration Trump déclarer une urgence nationale en mai 2020, il visait à sécuriser le système électrique en vrac américain par un décret interdisant l’acquisition d’équipements en provenance de pays qui présentent un «risque inacceptable pour la sécurité nationale ou la sécurité et la sûreté des citoyens américains».
Les détails sur la manière dont les pirates ont pu accéder aux systèmes de Colonial n’ont pas encore été rendus publics, mais Rapports Bloomberg que l’attaque a commencé le 6 mai, avec près de 100 gigaoctets de données volés avant que les ordinateurs de Colonial ne soient verrouillés. Une rançon a été demandée, à la fois pour empêcher la fuite de données sur Internet et pour déverrouiller les systèmes affectés.
Avec le pipeline en panne, la société et ses fournisseurs de carburant espèrent que les camions-citernes et peut-être les camions-citernes compenseront une partie de la pénurie. Des dérogations d’urgence ont été accordées par le ministère des Transports à prolonger les heures de conduite pour les camions et certaines entreprises sont recherche dans affréter des pétroliers pour livrer le carburant par bateau. Cette dernière option signifierait probablement renoncer à la Jones Act, une loi de 1920 qui exige que la navigation intérieure soit effectuée sur des navires construits, détenus et exploités par des citoyens américains ou des résidents permanents. Cela a été fait pour d’autres crises temporaires de carburant, par exemple à la suite des ouragans Katrina, Rita et Sandy. Mais ces mesures ne suffiront pas à remplacer complètement le pétrole que l’oléoduc livre.
Les inquiétudes suscitées par l’attaque soulignent deux des priorités déclarées de l’administration Biden: l’amélioration de l’infrastructure américaine et la cybersécurité. Il a été démontré que le piratage à grande échelle russe de SolarWinds, révélé en décembre 2020, avait affecté plusieurs systèmes du gouvernement fédéral. Biden a alors déclaré qu’en tant que président, «mon administration fera de la cybersécurité une priorité absolue à tous les niveaux de gouvernement – et nous ferons de la lutte contre cette violation une priorité absolue dès notre prise de fonction. … Je ne resterai pas les bras croisés face aux cyberattaques contre notre nation.
Biden a également dévoilé un plan d’infrastructure de 2 billions de dollars qui comprend 100 milliards de dollars pour moderniser le réseau électrique, ce que les experts en cybersécurité espéraient inclure amélioration des mesures de cybersécurité. Biden a également suspendu l’ordre exécutif du système d’alimentation en vrac de Trump pour le déploiement son propre plan. Et il prévoit de dévoiler prochainement un décret qui renforcera la cybersécurité dans les agences fédérales et pour les sous-traitants fédéraux.
Mais ces mesures sont plus axées sur la prévention d’une autre attaque de type SolarWinds. Fonctionnaires fédéraux dit au New York Times qu’ils ne pensent pas que l’ordonnance fait assez pour empêcher une attaque sophistiquée, et qu’elle ne s’appliquerait pas non plus à une société privée comme Colonial. L’attaque de l’oléoduc pourrait renforcer les demandes de normes de cybersécurité pour les entreprises qui jouent un rôle important dans la vie des Américains. Dans l’état actuel des choses, il leur appartient souvent de décider des mesures de sécurité qu’ils utilisent pour protéger les systèmes critiques.
«Les ransomwares sont une question d’extorsion et l’extorsion est une question de pression», a déclaré à Recode James Shank, architecte en chef des services communautaires de la société de cybersécurité et de renseignement sur les menaces Team Cymru. «L’impact sur la distribution de carburant attire immédiatement l’attention des gens. … Cela souligne la nécessité d’un effort coordonné qui relie les capacités des secteurs public et privé pour protéger nos intérêts nationaux.
En supposant que le pipeline soit rétabli d’ici la fin de la semaine, il ne devrait pas causer de perturbation majeure ou prolongée de la chaîne d’approvisionnement en carburant ou frapper trop fort les portefeuilles des consommateurs. Mais la prochaine – et de nombreux experts en cybersécurité craignent qu’il y en ait une ou plusieurs prochaines – pourrait être bien pire si des mesures ne sont pas prises aux plus hauts niveaux pour l’empêcher.
«Nous ne pouvons pas penser que ces attaques n’affectent que les entreprises privées – il s’agit d’une attaque contre l’infrastructure de notre pays», a ajouté Shank.