Paiera, paiera pas ? À chaque attaque rançongiciel, le même questionnement revient. Colonial Pipeline, l’oléoduc responsable de l’acheminement de 45% des carburants de la côte est des États-Unis a été victime du gang Darkside le 7 mai. Forcément, elle a dû faire face à ce dilemme.
Le lendemain, l’entreprise a pris la décision d’arrêter toute activité le temps de contrôler l’attaque. De quoi affoler les marchés financiers, mais aussi de déclencher un plan d’urgence, piloté par les plus hautes autorités fédérales (Maison-Blanche, FBI, Cisa).
Les premiers jours de cette situation de crise, Reuters et le Washington Post avaient rapporté que Colonial Pipeline écartait la possibilité de payer ses rançonneurs. C’est d’ailleurs le conseil généralement avancé par les autorités, dont le FBI. Payer la rançon implique de faire confiance aux cybercriminels, sans être sûr qu’ils respecteront leur parole. Surtout, cet argent récompense leur méfait et finance le développement de méthodes d’attaques toujours plus sophistiquées. C’est grâce à l’argent des rançons que les gangs sont devenus si puissants aujourd’hui et qu’ils sont désormais capables de s’en prendre aux plus grandes multinationales.
Malgré cette volonté initiale, jeudi 13 mai, Bloomberg puis CNN et le New York Times ont révélé que Colonial Pipeline avait finalement cédé au chantage. La veille, l’entreprise avait relancé la totalité de son activité, signe que son problème informatique était résolu. Elle aurait payé 5 millions de dollars (soit 75 bitcoins d’après le NYT) à ses rançonneurs. Comme d’habitude, ni la victime ni les autorités n’ont commenté le sujet du paiement de la rançon, et aucun détail n’a fuité sur la chronologie des événements. Souvent, le montant de la rançon, bien que très élevée, est inférieur au coût d’une reprise de l’activité sans l’aide des cybercriminels. Les victimes et leurs assureurs ont donc un intérêt à payer, d’un point de vue purement financier.
Un paiement (presque) inutile
Mais le comble de l’histoire de Colonial Pipeline, comme le relève Bloomberg, c’est que le paiement de la rançon a pratiquement été inutile dans la relance de l’activité. Le groupe a tenu sa parole et fourni à sa victime un décrypteur pour inverser les dégâts du rançongiciel. Sauf que l’outil s’est avéré tellement lent que restaurer les données à partir des sauvegardes était plus rapide. Et ce n’est pas tout : une coalition d’entreprises privées et de forces de l’ordre a réussi à saisir un serveur américain utilisé par les hackers pour stocker les données volées avant de les envoyer vers l’Europe. Colonial Pipeline a ainsi pu récupérer un important volume de ses données les plus sensibles.
Autrement dit, le paiement de la rançon n’a pas résolu la partie rançongiciel de l’attaque. Mais ce n’est pas pour autant qu’il a forcément été inutile. La majorité des gangs rançongiciel, dont Darkside, opère un double chantage : en plus de la paralysie du système informatique, ils menacent de publier les informations qu’ils ont dérobées. On ne peut que supposer que le paiement avait donc pour objectif de répondre à cette menace de fuite de données.
Les carburants pouvaient être acheminés
La reprise extrêmement rapide de l’activité de Colonial Pipeline s’explique aussi par le fait que l’infrastructure de l’oléoduc en elle-même n’a pas été affectée par l’attaque. La journaliste Kim Zetter et CNN ont précisé que l’attaque a simplement touché un serveur chargé de mesurer le volume de carburant envoyé à chaque client et de générer une facture automatiquement. Sans ce serveur, et sans dispositif manuel pour prendre le relai, Colonial Pipeline aurait pu continuer à approvisionner ses clients, mais sans pouvoir estimer avec précision le coût des opérations. Une fois le logiciel de facturation remis sur pied, l’entreprise a pu redémarrer.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !