San Diego : un nouveau port frappé par un rançongiciel

Les autorités portuaires de San Diego, en Californie, viennent indiquer avoir été victimes d’un ransomware. Et elles semblent avoir été prises au dépourvu : dans un communiqué, le Pdg du port explique d’une équipe composée notamment « d’experts de l’industrie » était toujours en train, après plus de deux jours, de « déterminer l’étendue et la chronologie de l’incident, l’ampleur des dommages aux ressources IT », et surtout de « développer un plan de reprise ».

Cet épisode fait suite, à une semaine d’intervalle, à un autre, comparable, sur les infrastructures portuaires de Barcelone. Ironie chronologique, deux jours plus tôt, les autorités locales évoquaient les défis de cybersécurité auxquels elles sont confrontées.

No one is safe from a #cyberattack that puts at risk their activity and safety and that of their stakeholders. Nor even the ports. In #PierNext we review the challenges of implementing a #cybersecurity system in a port. https://t.co/oMC345Gjv8

— Port of Barcelona (@portofbarcelona) September 18, 2018

Le premier d’entre eux pourrait bien tenir à une hygiène de base. Car Kevin Beaumont ne peut s’empêcher de relever un point commun aux deux ports : de nombreux services exposés sur Internet, entre RDP (Remote Desktop Protocol), VNC (Virtual Network Computing) ou encore SMB. Mais le problème n’est ni nouveau, ni isolé.

A l’automne dernier, Flashpoint lançait ainsi l’alerte sur la vente en ligne d’accès à des dizaines de milliers de services RDP. A l’époque, Shodan recensait plus de 77 000 services de ce type exposés sur Internet en France, pour près de trois millions à travers le monde.

Dans ce contexte, l’alerte conjointe du FBI et du ministère de l’Intérieur américain tombe à point nommée : selon eux, les attaquants visent de plus en plus les services RDP exposés en ligne. Et de formuler plusieurs recommandations que d’aucuns pourraient être tentés de voir comme relevant d’un bon sens relativement élémentaire.