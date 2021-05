L’un des plus grands pipelines du pays, qui transporte de l’essence raffinée et du carburéacteur du Texas sur la côte Est à New York, a été contraint de fermer après avoir été touché par un ransomware dans une démonstration vivante de la vulnérabilité de l’infrastructure énergétique aux cyberattaques. L’exploitant du système, Colonial Pipeline, a déclaré vendredi dans une déclaration vaguement formulée qu’il avait fermé son pipeline de 5500 miles, qui, selon lui, transporte 45% des approvisionnements en carburant de la côte Est, dans le but de contenir la brèche. Plus tôt vendredi, il y a eu des perturbations le long du pipeline, mais il n’était pas clair à l’époque si cela était le résultat direct de l’attaque ou des mesures de la société pour l’arrêter de manière proactive. Samedi, alors que le FBI, le ministère de l’Énergie et la Maison Blanche ont fouillé dans les détails, Colonial Pipeline a reconnu que ses réseaux informatiques d’entreprise avaient été touchés par une attaque de ransomware, dans laquelle des groupes criminels détiennent des données en otage jusqu’à ce que la victime paie une rançon. La société a déclaré qu’elle avait fermé le pipeline lui-même, un acte de précaution, apparemment de peur que les pirates informatiques aient pu obtenir des informations qui leur permettraient d’attaquer les parties sensibles du pipeline. Les responsables de l’administration ont déclaré qu’ils pensaient que l’attaque était le fait d’un groupe criminel, plutôt que d’une nation cherchant à perturber les infrastructures essentielles aux États-Unis. Mais parfois, ces groupes ont eu des affiliations lâches avec des agences de renseignement étrangères et ont agi en leur nom.

La fermeture d’un pipeline aussi vital, qui dessert la côte Est depuis le début des années 1960, met en évidence la vulnérabilité d’une infrastructure vieillissante qui a été connectée, directement ou indirectement, à Internet. Au cours des derniers mois, notent les responsables, la fréquence et la sophistication des attaques de ransomwares ont grimpé en flèche, paralysant des victimes aussi variées que le département de police du district de Columbia, les hôpitaux traitant des patients atteints de coronavirus et les fabricants, qui essaient fréquemment de cacher les attaques par honte que leurs systèmes étaient percé. Colonial, cependant, a dû expliquer pourquoi l’essence et le carburéacteur ne circulaient plus vers ses clients, et vendredi, les marchés ont commencé à réagir alors que des spéculations tournoyaient sur le fait qu’un accident, un problème de maintenance ou un cyberincident expliquaient l’arrêt. Mais samedi, Colonial, qui est une société privée, a refusé de dire si elle prévoyait de payer la rançon, ce qui suggère souvent qu’une entreprise envisage de le faire ou l’a déjà payée. Il n’indiquait pas non plus quand les opérations normales reprendraient. Au cours de la semaine prochaine, l’administration devrait publier un décret exécutif de grande envergure destiné à renforcer la sécurité des systèmes fédéraux et privés après que deux attaques majeures de la Russie et de la Chine ces derniers mois aient surpris les entreprises et les agences de renseignement américaines. Le pipeline Colonial transporte 2,5 millions de barils chaque jour, transportant de l’essence raffinée, du carburant diesel et du carburéacteur de la côte du Golfe jusqu’au port de New York et aux principaux aéroports de New York. La majeure partie de cela va dans de grands réservoirs de stockage, et avec la consommation d’énergie réduite par la pandémie de coronavirus, l’attaque était peu susceptible de provoquer des perturbations immédiates.

La société a d’abord déclaré qu’elle avait appris vendredi qu’elle «avait été victime d’une attaque de cybersécurité», ce qui a amené de nombreux acteurs du secteur et certains enquêteurs à penser que l’attaque aurait pu affecter directement les systèmes de contrôle industriel qui régulent le flux de pétrole. Colonial a publié samedi une déclaration mise à jour indiquant qu’elle avait déterminé que «l’incident impliquait un ransomware» et affirmait qu’elle avait mis ses systèmes hors service à titre préventif. «Colonial Pipeline prend des mesures pour comprendre et résoudre le problème», a déclaré la société. «Notre objectif principal est la restauration sûre et efficace de notre service et nos efforts pour revenir à un fonctionnement normal.» Il a déclaré qu’il avait contacté les autorités chargées de l’application de la loi et d’autres agences fédérales. Le FBI a confirmé qu’il était impliqué dans l’enquête, aux côtés du département de l’énergie et de la cybersécurité et de la sécurité des infrastructures du département de la sécurité intérieure. Les attaques contre les infrastructures critiques sont une préoccupation majeure depuis une décennie, mais elles se sont accélérées ces derniers mois après deux violations – l’intrusion SolarWinds par le principal service de renseignement russe et une autre contre certains types de systèmes conçus par Microsoft qui a été attribuée à des pirates chinois – a souligné la vulnérabilité des réseaux sur lesquels s’appuient le gouvernement et les entreprises.

Pour cette raison, comprendre comment l’attaque du pipeline s’est déroulée – et les motivations de ceux qui l’ont derrière – deviendra le centre d’intérêt des enquêteurs fédéraux et de la Maison Blanche, qui a élevé les cybervulnérabilités au sommet de son programme de sécurité nationale. Dans un communiqué samedi soir, la Maison Blanche a déclaré que le président Biden avait été informé de l’attaque du ransomware et de ses conséquences plus tôt dans la journée et que les responsables fédéraux travaillaient pour « évaluer les implications de cet incident, éviter les perturbations de l’approvisionnement et aider l’entreprise. restaurer les opérations de pipeline le plus rapidement possible. » Il a déclaré qu’il cherchait à s’assurer que les autres acteurs de l’industrie du carburant agissent pour se protéger.

Parce qu’elle est une société privée, Colonial subit moins de pression qu’une société cotée en bourse pourrait l’être pour révéler des détails. Mais en tant que dépositaire d’un élément majeur de la cyberinfrastructure du pays, l’entreprise est tenue de faire l’objet d’un examen minutieux de la qualité de ses protections et de sa transparence sur la façon dont elle a répondu à l’attaque. Des personnes proches de l’enquête ont déclaré que, bien que Colonial ait insisté pour avoir pris connaissance de l’attaque vendredi, les événements semblaient s’être déroulés sur plusieurs jours. Il a embauché la société privée de cybersécurité FireEye, qui a répondu au piratage de Sony Pictures Entertainment, aux violations d’installations énergétiques au Moyen-Orient et à de nombreux événements impliquant le gouvernement fédéral. Réduire les opérations de pipeline pour se protéger contre une intrusion plus large et plus dommageable est une pratique assez courante. Mais dans ce cas, il a laissé ouverte la question de savoir si les attaquants eux-mêmes avaient désormais la capacité d’ouvrir ou de fermer directement les pipelines ou de provoquer des opérations susceptibles de provoquer un accident. L’attaque de ransomware est le deuxième incident connu de ce type visant un opérateur de pipeline. L’année dernière, la Cybersecurity and Infrastructure Security Agency a signalé une attaque de ransomware contre une installation de compression de gaz naturel appartenant à un opérateur de pipeline. Cela a provoqué la fermeture de l’installation pendant deux jours, bien que l’agence n’ait jamais révélé le nom de l’entreprise. Les experts en cybersécurité affirment que la montée en puissance des outils d’attaque automatisés et le paiement d’une rançon en crypto-monnaies, qui rendent plus difficile la traçabilité des auteurs, ont exacerbé ces attaques. «Nous avons vu des ransomwares commencer à frapper des cibles souples comme les hôpitaux et les municipalités, où la perte d’accès a des conséquences concrètes et rend les victimes plus susceptibles de payer», a déclaré Ulf Lindqvist, directeur de SRI International spécialisé dans les menaces contre les systèmes industriels. «Nous parlons du risque de blessure ou de mort, pas seulement de perdre votre e-mail.» Colonial Pipeline, basé à Alpharetta, en Géorgie, appartient à plusieurs sociétés et sociétés d’investissement américaines et étrangères, notamment Koch Industries et Royal Dutch Shell. Le gazoduc relie Houston et le port de New York et du New Jersey et fournit également du carburéacteur aux principaux aéroports, y compris ceux d’Atlanta et de la région de Washington, DC.