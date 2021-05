Le président Biden a déclaré lundi que les États-Unis «perturberaient et poursuivraient» un gang criminel de pirates informatiques appelé DarkSide, que le FBI a officiellement accusé d’une énorme attaque de ransomware qui a perturbé le flux de près de la moitié des approvisionnements en essence et en carburéacteur vers le Cote est. Le FBI, clairement préoccupé par le fait que l’effort de ransomware pourrait se propager, a émis une alerte d’urgence aux services publics d’électricité, aux fournisseurs de gaz et aux autres exploitants de pipelines pour qu’ils soient à l’affût d’un code comme celui qui a enfermé Colonial Pipelines, une entreprise privée qui contrôle le principal pipeline. transportant de l’essence, du diesel et du carburéacteur de la côte du golfe du Texas au port de New York. Le pipeline est resté hors ligne pendant un quatrième jour lundi en tant que mesure préventive pour empêcher le malware qui a infecté les réseaux informatiques de l’entreprise de se propager aux systèmes de contrôle qui exécutent le pipeline. Jusqu’à présent, les effets sur l’essence et les autres approvisionnements en énergie semblent minimes, et Colonial a déclaré qu’il espérait que le pipeline fonctionne à nouveau d’ici la fin de cette semaine. L’attaque a déclenché des réunions d’urgence à la Maison Blanche tout au long du week-end, alors que les responsables tentaient de comprendre si l’épisode était purement un acte criminel – destiné à verrouiller les réseaux informatiques de Colonial à moins qu’il ne verse une rançon importante – ou était le travail de la Russie ou d’un autre. État qui utilisait secrètement le groupe criminel.

Jusqu’à présent, ont déclaré des responsables du renseignement, toutes les indications sont qu’il s’agissait simplement d’un acte d’extorsion de la part du groupe, qui a commencé à déployer ce ransomware en août dernier et serait opéré depuis l’Europe de l’Est, peut-être la Russie. Il y avait des preuves, même dans les propres déclarations du groupe lundi, qui suggéraient que le groupe avait simplement l’intention d’extorquer de l’argent à la société, et a été surpris qu’il ait fini par couper les principales approvisionnements en essence et en carburéacteur pour la côte est. L’attaque a révélé la vulnérabilité remarquable d’un canal clé pour l’énergie aux États-Unis, alors que les pirates informatiques deviennent de plus en plus effrontés dans la prise en charge d’infrastructures critiques, comme les réseaux électriques, les pipelines, les hôpitaux et les installations de traitement de l’eau. Les gouvernements des villes d’Atlanta et de la Nouvelle-Orléans et, ces dernières semaines, le département de police de Washington, DC, ont également été touchés. L’explosion des cas de ransomwares a été alimentée par la montée en puissance de la cyberassurance – qui a fait de nombreuses entreprises et gouvernements des cibles idéales pour les gangs criminels qui croient que leurs cibles paieront – et des crypto-monnaies, qui rendent les paiements d’extorsion plus difficiles à retracer. Dans ce cas, le ransomware ne visait pas les systèmes de contrôle du pipeline, ont déclaré des responsables fédéraux et des enquêteurs privés, mais plutôt les opérations de back-office de Colonial Pipeline. Néanmoins, la crainte de dommages plus importants a forcé l’entreprise à fermer le système, une décision qui a fait ressortir les énormes vulnérabilités du réseau rapiécé qui maintient les stations-service, les relais routiers et les aéroports en fonctionnement. Une enquête préliminaire a montré de mauvaises pratiques de sécurité à Colonial Pipeline, selon des responsables fédéraux et privés familiers avec l’enquête. Les défaillances, ont-ils dit, ont très probablement rendu assez facile l’acte de s’introduire par effraction et de verrouiller les systèmes de l’entreprise.

Colonial Pipeline n’a pas répondu aux questions sur le type d’investissement qu’il avait réalisé pour protéger ses réseaux et a refusé de dire s’il payait la rançon. Et l’entreprise semblait réticente à laisser les fonctionnaires fédéraux renforcer ses défenses.

« Pour le moment, ils n’ont pas demandé le cybersupport du gouvernement fédéral », a déclaré Anne Neuberger, la conseillère adjointe à la sécurité nationale pour la cyber-technologie et les technologies émergentes, lors d’un briefing à la Maison Blanche. Elle a refusé de dire si le gouvernement fédéral conseillerait de payer la rançon, notant que «les entreprises sont souvent dans une position difficile si leurs données sont cryptées et qu’elles ne disposent pas de sauvegardes et ne peuvent pas récupérer les données». Bien que Mme Neuberger ne l’ait pas dit, cela semble être essentiellement ce qui est arrivé à Colonial. M. Biden, qui devrait annoncer un décret dans les prochains jours pour renforcer les cyberdéfenses américaines, a déclaré qu’il n’y avait aucune preuve que le gouvernement russe était derrière l’attaque. Mais il a déclaré qu’il prévoyait de rencontrer prochainement le président russe Vladimir V. Poutine – les deux hommes devraient tenir leur premier sommet le mois prochain – et il a suggéré que Moscou portait une certaine responsabilité car on pense que DarkSide a des racines en Russie et que le pays fournit un havre pour les cybercriminels. «Il y a des gouvernements qui ferment les yeux ou qui encouragent ces groupes par l’affirmative, et la Russie est l’un de ces pays», a déclaré Christopher Painter, ancien cyberdiplomate américain de premier plan. «Faire pression sur des refuges sûrs pour ces criminels doit faire partie de toute solution.» Les pipelines de Colonial alimentent de grands réservoirs de stockage le long de la côte Est, et les approvisionnements semblent abondants, en partie à cause de la réduction du trafic pendant la pandémie. Colonial a publié une déclaration lundi, déclarant que son objectif était de reprendre «substantiellement» le service d’ici la fin de la semaine, mais la société a averti que le processus prendrait du temps.

Elizabeth Sherwood-Randall, la conseillère à la sécurité intérieure de M. Biden et ancienne sous-secrétaire à l’énergie de l’administration Obama, a déclaré que le ministère de l’Énergie dirigeait la réponse fédérale et avait «convoqué les partenaires des services publics du secteur pétrolier et gazier et électrique pour partager des détails. à propos de l’attaque du ransomware et discuter des mesures recommandées pour atténuer les nouveaux incidents dans l’industrie. Elle a fait remarquer que le gouvernement fédéral avait assoupli les règles applicables aux conducteurs qui transportent de l’essence et du carburéacteur par camion, dans le but d’en atténuer les effets.

«À l’heure actuelle, il n’y a pas de pénurie d’approvisionnement», a-t-elle déclaré. «Nous nous préparons à de multiples éventualités.» Mais elle a dit que le travail de remise en ligne du pipeline appartenait à Colonial. Pour de nombreux responsables qui ont lutté pendant des années pour protéger les infrastructures essentielles des États-Unis contre les cyberattaques, la seule surprise des événements de ces derniers jours est qu’ils ont mis tellement de temps à se produire. Lorsque Leon E. Panetta était secrétaire à la défense sous le président Barack Obama, M. Panetta a mis en garde contre un «cyber Pearl Harbor» qui pourrait couper le courant et le carburant, une expression souvent utilisée dans un effort pour amener le Congrès ou les entreprises à dépenser plus pour la cyberdéfense. Sous l’administration Trump, le ministère de la Sécurité intérieure a émis des avertissements sur les logiciels malveillants russes dans le réseau électrique américain, et les États-Unis ont déployé un effort pas si secret pour placer des logiciels malveillants dans le réseau russe en guise d’avertissement. Mais dans les nombreuses simulations menées par les agences gouvernementales et les services publics d’électricité de ce à quoi ressemblerait une grève contre le secteur énergétique américain, l’effort était généralement envisagé comme une sorte de frappe terroriste – un mélange d’attaques cybernétiques et physiques – ou un blitz par l’Iran. , La Chine ou la Russie dans les premiers instants d’un conflit militaire plus large. Mais cette affaire était différente: un acteur criminel qui, en essayant d’extorquer de l’argent à une entreprise, a fini par faire tomber le système. Un haut responsable de l’administration Biden l’a qualifié de «menace mixte ultime» parce qu’il s’agissait d’un acte criminel, le type auquel les États-Unis répondraient normalement par des arrestations ou des mises en accusation, ce qui a entraîné une menace majeure pour la chaîne d’approvisionnement énergétique du pays. En menaçant de «perturber» le groupe de ransomware, M. Biden a peut-être signalé que l’administration allait prendre des mesures contre ces groupes au-delà de simplement les inculper. C’est ce que le Cyber ​​Command des États-Unis a fait l’année dernière, avant l’élection présidentielle de novembre, lorsque ses pirates militaires ont pénétré par effraction dans les systèmes d’un autre groupe de ransomware, appelé Trickbot, et ont manipulé ses serveurs informatiques de commande et de contrôle afin qu’il ne puisse pas enfermez de nouvelles victimes avec un ransomware. La crainte à ce moment-là était que le groupe de ransomware puisse vendre ses compétences aux gouvernements, y compris la Russie, qui cherchaient à geler les tableaux électoraux. Lundi, DarkSide a fait valoir qu’il n’opérait pas au nom d’un État-nation, peut-être dans le but de se distancier de la Russie.