Cyberattaque de Colonial Pipeline
La cyberattaque de Colonial Pipeline est survenue le lorsque le Colonial Pipeline, un système d'oléoduc américain qui provient de Houston, au Texas et transporte du mazout principalement vers le sud-est des États-Unis, a subi une cyberattaque de ransomware qui a forcé l'équipement informatisé gérant le pipeline à fermer. L'attaque a interrompu toutes les opérations du pipeline.
Cyberattaque de Colonial Pipeline | |
Carte du Colonial Pipeline | |
Localisation | États-Unis |
---|---|
Cible | Colonial Pipeline |
Date | (données volées) (attaque de malware) |
Type | Cyberattaque, violation de données, ransomware |
Auteurs présumés | DarkSide (en) |
Le Président des États-Unis Joe Biden a déclaré l'état d'urgence le 9 mai. C'est la plus grande cyberattaque contre une infrastructure pétrolière dans l'histoire des États-Unis. Le FBI et diverses sources médiatiques ont identifié le groupe de piratage criminel DarkSide (en) comme étant la partie responsable. Le même groupe aurait volé cent giga-octets de données sur les serveurs de l'entreprise la veille de l'attaque du malware.
Contexte
Le Colonial Pipeline transporte de l'essence, du diesel et du carburéacteur du Texas jusqu'à New York. Environ 45 % de tout le carburant consommé sur la côte Est arrive via le réseau de pipelines. L'attaque est survenue au milieu d'inquiétudes croissantes concernant la vulnérabilité de l'infrastructure aux cyberattaques après plusieurs attaques de haut niveau, y compris le piratage SolarWinds de 2020 qui a frappé plusieurs agences gouvernementales, dont le Pentagone, le département du Trésor, le département d'État et le département de la sécurité intérieure.
Cyberattaque
Après que le Colonial Pipeline eut signalé que ses réseaux informatiques d'entreprise avaient été touchés par l'attaque du ransomware, la société a fermé le pipeline par précaution en raison de la crainte que les pirates informatiques aient pu obtenir des informations leur permettant de mener de nouvelles attaques sur des parties vulnérables du pipeline. Le lendemain de l'attaque, Colonial n'a pas pu confirmer quand le pipeline reprendrait ses fonctions normales. Les attaquants ont également volé près de cent giga-octets de données et ont menacé de les publier sur Internet si la rançon n'était pas payée. Le 9 mai, Colonial a déclaré qu'il prévoyait de réparer et de restaurer substantiellement les opérations du pipeline d'ici la fin de la semaine.
En réponse aux pénuries de carburant à l'aéroport international de Charlotte/Douglas causées par la fermeture du pipeline, American Airlines a modifié temporairement les horaires de vol. Au moins deux vols (à Honolulu et Londres) ont eu des arrêts de carburant ou des changements d'avion ajoutés à leurs horaires pour une période de quatre jours. La pénurie a également obligé l'aéroport international Hartsfield-Jackson d'Atlanta à utiliser d'autres fournisseurs de carburant, et il y a au moins cinq autres aéroports directement desservis par le pipeline.
Des pénuries de carburant ont commencé à se produire dans les stations-service au milieu des achats de panique alors que l'arrêt du pipeline entrait dans son quatrième jour. La Caroline du Nord, la Floride et l'Alabama ont toutes signalé des pénuries. Les prix moyens du carburant ont atteint leur plus haut niveau depuis 2014, atteignant presque 3$ le gallon.
La société déclare le 19 mai avoir payé 4,4 millions de dollars de rançon pour que les hackeurs lui fournissent un outil informatique lui permettant de rétablir son activité[1].
Celle-ci était de 75 bitcoins, le Département de la justice des États-Unis a pu suivre les transferts financiers et saisir 63,7 de ces bitcoins le 7 juin 2021. Entre-temps, le cours de la monnaie virtuelle a chuté, la somme récupérée ne correspond plus qu'à 2,3 millions de dollars[2].
Conséquences
Le président Joe Biden a déclaré l'état d'urgence le 9 mai. La déclaration a supprimé les limites concernant le transport de carburants par route, dans le but d'atténuer toute pénurie potentielle. Biden a déclaré le 10 mai que, bien qu'il n'y ait aucune preuve que le gouvernement russe était responsable de l'attaque, il y avait des preuves que le groupe DarkSide est en Russie, et que, par conséquent, les autorités russes « ont une certaine responsabilité de gérer cela ». Cependant, les fonctionnaires américains ont déclaré anonymement à Politico le 10 mai qu'ils croyaient que le GRU était derrière l'attaque, mais qu'ils n'avaient pas suffisamment de preuves pour faire officiellement cette affirmation.
DarkSide a publié une déclaration le 9 mai qui ne mentionnait pas directement l'attaque, mais déclarait que « notre objectif est de gagner de l'argent et non de créer des problèmes pour la société ».
Le 10 mai 2021, le gouverneur de Géorgie Brian Kemp a déclaré l'état d'urgence, mettant également temporairement fin à la taxe sur l'essence.
Le FSB annonce en janvier 2022 avoir démantelé le réseau REvil[3].
Notes et références
- (en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Colonial Pipeline cyberattack » (voir la liste des auteurs).
- Philippe Escande, AFP, « Etats-Unis : les oléoducs Colonial Pipeline ont versé une rançon de 4,4 millions de dollars à des hackeurs », Le Monde, (ISSN 1950-6244, consulté le ).
- https://www.lefigaro.fr/flash-eco/la-majorite-de-la-rancon-payee-aux-hackeurs-par-colonial-pipeline-recuperee-20210607
- Fin de partie pour REvil, célèbre groupe cybercriminel spécialisé dans le ransomware, 01.net, 14 janvier 2022, Gilbert Kallenborn