Selon des experts en cybersécurité, le paiement d’une rançon par une société américaine d’oléoducs aux pirates informatiques pourrait déclencher encore plus d’attaques de logiciels malveillants criminels contre des cibles américaines critiques, et pourrait alimenter les appels à l’interdiction de ces paiements.

Les critiques découlent d’une décision de Colonial Pipeline, une société de livraison d’essence, de payer plus de 5 millions de dollars pour le contrôle de son système informatique par un syndicat criminel connu sous le nom de Darkside.

«Le moment est absolument venu pour les gouvernements d’envisager d’interdire les paiements de rançon», a déclaré Brett Callow, analyste des menaces au sein de la société de sécurité Emisoft. «Si les paiements s’arrêtent, les attaques cesseront.

«L’alternative est que nos systèmes de soins de santé, nos infrastructures essentielles, les gouvernements locaux, les écoles et autres organismes des secteurs public et privé continuent d’être ciblés par un bombardement continu de cyberattaques à motivation financière.»

«Je pense personnellement qu’une partie de la raison pour laquelle il existe un marché et un écosystème florissants pour les ransomwares est que les gens paient», a déclaré Michael Daniel, qui a été coordinateur de la cybersécurité du président Barack Obama au Conseil de sécurité nationale. «Maintenant, c’est une menace pour la sécurité et la sûreté nationales. Et l’exemple de Colonial Pipeline le montre parfaitement. »

Le prix à la pompe:Les prix du gaz américain augmentent alors que le pipeline Colonial rouvre après une attaque de ransomware

Cette perspective ne fait cependant pas l’unanimité. Les responsables de l’industrie et certains experts en cybersécurité affirment que l’interdiction des paiements de cyber-rançon pourrait être désastreuse si des pirates informatiques frappaient les hôpitaux, les forces de l’ordre ou d’autres services critiques – et pourrait les pousser à faire exactement cela.

De plus, disent-ils, dans les cas où des criminels ont complètement détourné des opérations informatiques, les victimes n’ont guère le choix: un refus de payer pourrait mettre des vies en danger, endommager des services vitaux et détruire l’entreprise.

Eric Cole, expert en sécurité chez Secure Anchor Consulting et auteur du prochain livre, « Cyber ​​Crisis,« a déclaré que l’interdiction des paiements de rançon forcerait les victimes de logiciels malveillants plus profondément dans l’ombre, et qu’elles devraient encore payer. «Si le gouvernement commence à le rendre illégal, ce sera comme de la drogue. Cela va simplement augmenter le prix des rançons », a-t-il déclaré.

Colonial Pipeline a refusé de commenter cette histoire, mais ce dilemme – payer ou souffrir – s’est dramatiquement joué cette semaine alors que les consommateurs d’essence se livraient à une frénésie d’achat panique qui a drainé des centaines de stations-service.

Dans les attaques de ransomwares, les syndicats du crime utilisant des logiciels malveillants infiltrent le système informatique d’une victime et chiffrent le contenu. Ils demandent ensuite de l’argent – généralement une crypto-monnaie introuvable – pour un code permettant de déverrouiller les données. Si l’argent n’est pas payé, la victime n’a pas accès aux données ou opérations cruciales, et les criminels peuvent commettre des sabotages ou divulguer publiquement des informations sensibles.

Colonial a été contraint de fermer un système de gazoduc, qui fournit environ 45% du gaz sur la côte Est, selon le Washington Post.

Peu de temps avant que la société ne paie un péage, a noté Cole, Darkside a publié une déclaration déclarant: «Notre objectif est de gagner de l’argent, et non de créer des problèmes pour la société», avec une implication que cela pourrait faire encore plus de ravages.

Les options sinistres étaient de payer ou de faire face à des perturbations et à un possible sabotage pendant l’effort de récupération d’un mois, a déclaré Cole. « Et cela se termine mal, peu importe comment vous le jouez. »

Les criminels malwares se déchaînent

Dans un témoignage au Congrès quelques jours à peine avant l’attaque de Colonial Pipeline, Christopher Krebs, ancien directeur de l’Agence américaine pour la cybersécurité et la sécurité des infrastructures, a averti que les attaquants de logiciels malveillants «ont été autorisés à se déchaîner» et prolifèrent parce que leurs crimes sont si lucratifs.

«En payant la rançon, la victime valide le modèle commercial et apporte essentiellement une contribution en capital au criminel, ce qui lui permet d’embaucher plus de développeurs, plus de service client», a noté Krebs. «Et, plus inquiétant, passez à la victime suivante.

«Pour faire simple, nous sommes à l’aube d’une pandémie mondiale d’une variété différente, motivée par la cupidité, un écosystème numérique vulnérable évitable et une entreprise criminelle de plus en plus étendue.»

D’autres experts en cybersécurité ont déclaré que la décision de payer une rançon encourage non seulement Darkside mais d’autres criminels à lancer des attaques de logiciels malveillants.

Daniel a déclaré qu’une interdiction des paiements de rançon – les rendant illégaux – donnerait aux entreprises un outil pour résister aux demandes. Mais lui et d’autres experts ont reconnu qu’il y a peu de chances qu’une telle mesure soit adoptée par le Congrès en raison de la résistance des industries politiquement puissantes qui supervisent la plupart des infrastructures critiques américaines.

Colonial fournit plus de 100 millions de gallons de gaz par jour via 5500 miles de pipelines dans 14 États.

De nombreux médias cette semaine ont rapporté le paiement de la rançon de 5 millions de dollars peu de temps avant que Colonial n’annonce en ligne qu’elle a repris la livraison aux clients.

La Transportation Security Administration, qui est le responsable fédéral de la sécurité des oléoducs, n’a pas répondu aux questions des États-Unis AUJOURD’HUI, mais a fourni une déclaration indiquant que l’agence supervise les entreprises en évaluant leur «adhésion volontaire» aux directives fédérales.

Retombées de la cyberattaque du pipeline colonial:Attendez-vous à ce que les pénuries de gaz disparaissent d’ici le Memorial Day, selon un expert

Les organismes d’application de la loi américains s’opposent à l’acquiescement aux demandes des cyber-pirates, mais n’ont pas le pouvoir de les empêcher à moins que des violations de blanchiment d’argent ne se produisent.

Le président Biden a répondu cette semaine à l’attaque contre Colonial en publiant un décret pour la cybersécurité. Il ne mentionne pas les paiements de rançon.

Une prolifération d’attaques

L’infrastructure essentielle du pays comprend des milliers d’opérations commerciales et gouvernementales classées en 16 secteurs, y compris les ressources énergétiques qui alimentent le transport et fournissent de l’électricité.

Colonial fait partie d’un plus grand réseau américain comprenant près de 3 millions de kilomètres de pipelines qui transportent du gaz naturel, du pétrole et des liquides dangereux.

Les menaces et les attaques contre le système ne sont pas surprenantes. En 2017, un rapport du Congressional Research Office a averti que les réseaux électriques et les pipelines américains sont en péril et que «les cybermenaces pour les systèmes informatiques qui exploitent cette infrastructure critique sont de plus en plus préoccupantes».

Dans ce contexte, le gouvernement américain n’impose pas de norme de sécurité minimale en matière de cybersécurité à ces entreprises, à l’exception de l’industrie nucléaire.

Chris Cummiskey, ancien soussecrétaire du département de la Sécurité intérieure et directeur général d’une société de cybersécurité, a déclaré que 85% de l’infrastructure du pays est contrôlée par des entreprises privées, mais que le gouvernement et le public ont un énorme intérêt à prévenir les attaques perturbatrices.

Cummiskey a déclaré que les industries se sont opposées avec succès aux mandats de divulgation d’attaques ou de paiements par ransomware.

«Quand quelque chose se passe comme ça avec Colonial, il n’y a aucune obligation de divulguer», a-t-il ajouté. « Et vous êtes plus susceptible d’être une cible parce qu’ils ont payé, et peut-être que le prochain sera de 10 millions de dollars … Je comprends pourquoi ils l’ont payé, mais cela peut certainement entraîner une prolifération de ces attaques. »

« Impacts sur la vie ou la mort »:Colonial hack la dernière menace croissante d’attaques de ransomware

Les entreprises ne sont pas tenues de respecter les pratiques de prévention des intrusions informatiques ou de maintenir des sauvegardes sécurisées de leurs données et systèmes. Au lieu de cela, les agences fédérales offrent des conseils et exhortent les industries à prendre volontairement des précautions contre les terroristes et les attaquants de logiciels malveillants.

Le Plan national de protection des infrastructures, par exemple, est «un cadre pour guider les efforts collectifs des partenaires» en établissant «une vision, une mission et des objectifs qui sont soutenus par un ensemble de principes fondamentaux axés sur la gestion des risques».

Le National Petroleum Council et l’American Petroleum Institute n’ont pas immédiatement répondu aux demandes de commentaires.

Un manuel de préparation à l’industrie pétrolière et gazière, publié en 2016, ne mentionne pas la cybersécurité.

Les organisations industrielles – préoccupées par la responsabilité, les relations publiques, la concurrence et les questions d’assurance – évitent généralement la réglementation. Au lieu de cela, ils prônent la collaboration, le partage d’informations et les meilleures pratiques.

Mais Cummiskey et d’autres, qui notent une escalade spectaculaire des attaques et des dommages causés par les ransomwares, se demandent si cela fonctionne.

Selon la société de sécurité Emisoft, 2354 entreprises américaines, agences gouvernementales et écoles ont été touchées par un ransomware en 2020.

Une société d’assurance cybersécurité, Coalition, a enregistré une augmentation de 100% de la fréquence des attaques de ransomwares parmi les assurés de 2019 au début de 2020.

Une autre société, Sophos, a interrogé environ 5 000 décideurs informatiques dans 26 pays l’année dernière. Plus de la moitié ont signalé des attaques de ransomwares au cours des 12 mois précédents.

Sophos soutient que le paiement d’une rançon augmente en fait le coût de la résolution d’une attaque de malware. La société a constaté que les coûts de recouvrement s’élevaient en moyenne à 1,4 million de dollars pour les victimes qui ont payé une rançon, mais à 730 000 dollars pour celles qui ont refusé.

En effet, les auteurs n’ont plus besoin de compétences techniques pour lancer des attaques de ransomware, car les criminels experts vendent leurs services de piratage en ligne, mettant en place des novices pour une réduction des bénéfices. L’année dernière, les deux tiers des invasions étudiées par une entreprise de cybersécurité ont été orchestrées par ces spécialistes de la franchise de ransomware.

Payer ou ne pas payer?

Plus tôt cette année, l’institut à but non lucratif Institute for Security + Technology a publié un rapport de 81 pages du groupe de travail sur les ransomwares contenant des dizaines de recommandations sur la façon de lutter contre les logiciels malveillants.

Le constat de base: la plupart des organisations d’infrastructures critiques du monde «ne disposent pas d’un niveau de préparation approprié pour se défendre contre ces attaques».

Daniel, coprésident du groupe de travail et directeur général de la Cyber ​​Threat Alliance, une coalition de sociétés de sécurité, a déclaré que chaque groupe travaillant sur le rapport se demandait si les gouvernements devraient interdire les paiements de rançon.

Vérification des faits:La pénurie de gaz de Colonial Pipeline était le résultat d’une cyberattaque par des pirates informatiques

Les partisans ont fait valoir que la criminalisation de la pratique éliminerait un motif et réduirait les finances qui permettent aux syndicats du crime de prospérer. «Un autre argument est que les bénéfices de la rançon sont utilisés pour financer d’autres crimes plus pernicieux, tels que la traite des êtres humains, l’exploitation des enfants, le terrorisme et la création d’armes de destruction massive», indique le rapport. « Vu sous cet angle, les arguments en faveur de l’interdiction des paiements sont clairs. »

Les opposants ont soutenu qu’une interdiction des paiements de rançon pousserait les criminels à s’attaquer à des cibles encore plus essentielles, telles que les hôpitaux, obligeant les victimes à choisir entre le paiement et un bouleversement généralisé. (En fait, de nombreux hôpitaux américains ont été touchés par des attaquants de logiciels malveillants au cours des deux dernières années.)

En fin de compte, a noté Daniel, le groupe de travail s’est penché sur la question des lois anti-rançon – la seule question politique pour laquelle il n’y avait pas de consensus.

Au lieu de cela, le groupe de travail a décidé que les paiements «devraient être découragés autant que possible», tout en appelant également à des réglementations qui obligeraient les victimes à signaler les attaques de ransomwares.