Il y a près de trois ans, la société Colonial Pipeline a été attaquée et a dû fermer le réseau de canalisations de carburant pendant six jours, ce qui a entraîné une pénurie de gaz. Washington, DC et 17 autres États ont déclaré l’état d’urgence.

Aperçu de l'attaque du pipeline colonial

Colonial Pipeline a été victime d'un ransomware en mai 2021, affectant plusieurs systèmes numériques et le forçant à fermer pendant plusieurs jours. L’incident affecte à la fois les consommateurs et les compagnies aériennes de la côte Est. Il est considéré comme un risque pour la sécurité nationale car le pipeline transporte le pétrole des raffineries vers les marchés industriels. Cela a incité le président américain Joe Biden à déclarer l’état d’urgence.

Le Colonial Pipeline est l'un des oléoducs les plus grands et les plus importants des États-Unis, qui a commencé à fonctionner en 1962 pour aider à transporter le pétrole du golfe du Mexique vers les États de la côte est. Le système comprend plus de 5 500 miles de pipelines, partant du Texas et traversant le New Jersey, responsables de près de la moitié du carburant sur la côte Est. Elle fournit du pétrole raffiné pour l’essence, le carburéacteur et l’huile domestique.

De nombreuses stations-service dans les États américains sont à court de carburant en raison de la fermeture du système Colonial Pipeline, en mai 2021. Photo : NBC News

Le 6 mai 2021, le groupe de pirates DarkSide a accédé au réseau de Colonial Pipeline, volant 100 Go de données en 2 heures. Ils ont ensuite infecté le réseau informatique avec un ransomware, affectant plusieurs systèmes informatiques, notamment la comptabilité et la facturation.

Colonial Pipeline a dû fermer le pipeline pour empêcher la propagation du ransomware. La société de sécurité Mandiant a ensuite été appelée pour enquêter sur l'attaque. Le FBI, l’Agence de cybersécurité et de sécurité des infrastructures, le ministère de l’Énergie et le ministère de la Sécurité intérieure ont également participé.

Le 7 mai 2021, la plus grande entreprise de pipelines des États-Unis a dû payer une rançon de 75 Bitcoins d'une valeur d'environ 4,4 millions de dollars à des pirates informatiques pour obtenir la clé de décryptage. Le pipeline a été remis en service à partir du 12 mai 2021.

Lors d'une audition devant le Congrès américain le 8 juin 2021, Charles Carmakal, vice-président senior et directeur de la technologie de Mandiant, a déclaré que l'attaquant avait pénétré le réseau en utilisant un mot de passe divulgué d'un compte VPN. De nombreuses organisations utilisent des VPN pour accéder en toute sécurité aux réseaux d’entreprise à distance.

Selon le témoignage de Carmakal, un employé de Colonial Pipeline a apparemment partagé un mot de passe VPN avec un autre compte, mais ce mot de passe a été exposé d'une manière ou d'une autre lors d'une autre violation de données. Utiliser le même mot de passe pour plusieurs comptes est une erreur que beaucoup de gens commettent.

Lors de l'audience, le PDG de Colonial Pipeline, Joseph Blount, a également expliqué pourquoi il avait décidé de payer la rançon. Au moment de l’attaque, il ne connaissait pas l’ampleur de la propagation ni le temps qu’il faudrait pour restaurer le système. Il a donc pris cette décision dans l’espoir d’accélérer son temps de récupération.

Le ministère américain de la Justice, après avoir retracé le paiement, a découvert l'adresse numérique du portefeuille utilisé par l'attaquant et a obtenu une ordonnance du tribunal pour saisir le Bitcoin. En conséquence, la campagne a permis de récupérer 64/75 Bitcoins d’une valeur d’environ 2,4 millions de dollars.

L’« héritage » de l’attaque du pipeline colonial

Pour la première fois, les ransomwares ont attiré l’attention nationale sur les États-Unis, forçant le Congrès à adopter de nouvelles lois et incitant de nombreuses agences fédérales à adopter de nouvelles exigences en matière de cybersécurité. Les attaques de ransomware ne sont pas nouvelles, elles ont dévasté des gouvernements, des établissements de santé et des écoles avant que Colonial Pipeline n'en soit victime. La différence réside toutefois dans l’impact régional, selon Ben Miller, vice-président des services chez Dragos, une société de sécurité des infrastructures.

« J’ai appris plus tard qu’il faut un certain niveau d’attention lorsque quelque chose a un impact réel sur la vie des gens », a déclaré Charles Carmakal, vice-président senior de la société de sécurité Mandiant, qui a contribué à l’enquête sur l’incident de Colonial. « Quand il s’agira de gaz et de viande, les gens s’en soucieront vraiment. »

En raison de l'incident survenu à Colonial Pipeline, de nombreuses compagnies aériennes sont à court de carburant et certains aéroports voient leurs opérations restreintes. Les inquiétudes concernant les pénuries d’essence ont provoqué la panique parmi la population, entraînant de longues files d’attente dans les stations-service de nombreux États. De plus, les prix moyens dans les stations de pompage ont également grimpé en flèche en raison des pannes de pipelines. Dans certains États, les gens versent même de l’essence dans des sacs en plastique, obligeant la Commission américaine de sécurité des produits de consommation à émettre un avertissement demandant de n’utiliser que des conteneurs spécialement conçus pour l’essence.

L’attaque du pipeline Colonial a obligé tout le monde à prendre les risques de sécurité au sérieux et à adopter des politiques qui étaient autrefois négligées. Selon Mike Hamilton, ancien responsable de la sécurité des informations de la ville de Seattle, il a été difficile d’amener le gouvernement fédéral à donner la priorité aux exigences de sécurité des infrastructures critiques.

D’autres affaires survenues fin 2021 – dont une visant le producteur de viande JBS Foods – ont accru la pression sur les décideurs politiques, les régulateurs et les dirigeants. Ils ont joué un rôle catalyseur pour inciter les dirigeants à revoir leurs propres plans de réponse aux ransomwares. Selon Miller, le niveau d’attention accordé à la planification des interventions est devenu beaucoup plus détaillé.

Cependant, la réglementation et le secteur doivent changer. Wendi Whitmore, vice-présidente principale du renseignement sur les menaces chez Palo Alto Networks Unit 42, estime qu'il devrait y avoir des accords multilatéraux entre les pays pour lutter contre les ransomwares.

(Selon Axios, Tech Target)