zorandim75 - Fotolia
Face à un ransomware, l’un des principaux opérateurs de pipeline aux US arrête son informatique
L’Américain Colonial Pipeline, qui opère l’un des principaux pipelines de distribution de carburant outre-Atlantique, a mis à l’arrêt son système d’information à la suite d’une cyberattaque impliquant un ransomware.
Ce samedi 8 mai, Colonial Pipeline, reconnaissait avoir été victime d’une cyberattaque. Celui-ci opère un pipeline de carburant essentiel aux États-Unis, transportant près de la moitié des carburants consommés sur la Côte Est du pays, et s’étendant du Texas au New Jersey.
Dans un communiqué de presse, Colonial Pipeline expliquait initialement avoir « proactivement déconnecté certains systèmes afin de contenir la menace, ce qui a temporairement interrompu les activités du pipeline et affecté certains systèmes IT ». Ce dimanche 9 mai, dans un nouveau communiqué, l’opérateur explique que ses personnels ont pris de nombreuses mesures de prudence « pour aider à superviser et protéger la sûreté et la sécurité du pipeline ». Il explique en outre que ses « équipes opérationnelles développent un plan de relance du système ». Les lignes principales étaient alors encore déconnectées, mais « des lignes latérales plus petites entre terminaux et point de fourniture sont désormais opérationnelles ».
Pas question, toutefois, d’avancer à ce stade, de date de reprise complète de l’activité : « nous relancerons pleinement notre système uniquement lorsque nous penserons qu’il est sûr de le faire, et en conformité avec les approbations des réglementations fédérales ».
Selon nos confrères du Washington Post, la cyberattaque a impliqué le déploiement et la détonation du ransomware Darkside. Et diverses sources indiquent que plus de 90 Go de données auraient été dérobés à l’occasion de l’attaque. Ce volume apparaît relativement limité, mais guère surprenant pour Darkside : les cybercriminels l’utilisant montrent régulièrement qu’ils sont très inégaux en niveaux de compétences.
Dans certaines opérations, certains parviennent à exfiltrer des centaines de giga-octets de données ; d’autres se contentent de quelques dizaines. À peine plus de 30 Go de données avaient ainsi été volés au Français Wonderbox ou à OMV System France. Mais pour Copel, les attaquants ont revendiqué le vol de plus de 1 To de données, dont des données liées au déploiement CyberArk ou encore l’intégralité des données d’annuaire.
De leur côté, les opérateurs du rançongiciel Darkside ont implicitement reconnu l’implication de celui-ci dans l’attaque. Sur le site Web où ils mettent à l’index leurs victimes ayant refusé de céder au chantage, ils ont publié une note précisant ne pas s’immiscer dans la géopolitique : « inutile de nous lier à un gouvernement précis ou de chercher bien loin nos motivations. Notre but est de gagner de l’argent, pas de créer des problèmes pour la société ». Manifestement échaudés, et vraisemblablement inquiets du risque de trop attirer l’attention des autorités de leurs pays d’origine, ils ajoutent prévoir désormais de jouer les modérateurs et de vérifier chaque cible visée.
L’illustration du besoin de rapprocher IT et OT
À ce stade, rien ne semble indiquer que les systèmes opérationnels (OT) de Colonial Pipeline aient été affectés directement lors de l’attaque. Mais l’interconnexion croissante entre IT et OT justifie pleinement d’importantes précautions. Car jusqu’ici, les menaces plus couramment observées dans les environnements OT restent issues de l’IT.
Il y a quatre ans, les données de Dragos, spécialiste de la sécurité des systèmes industriels, étaient d’ailleurs formelles : ses équipes avaient identifié 30 000 échantillons de fichiers et installeurs ICS compromis par des logiciels malveillants, remontant jusqu’en 2003. Et il s’agissait de logiciels malveillants génériques.
En 2016, des échantillons de Conficker ont été retrouvés dans une centrale nucléaire allemande, sur des machines reconditionnées en 2008 pour servir au contrôle des barres de combustible. À l’automne 2012, le RSSI de Schneider Electric indiquait, lors des Assises de la Sécurité, avoir découvert, à l’occasion du déploiement d’un système de gestion des informations et des événements de sécurité (SIEM), plus de 200 machines internes infectées par des logiciels malveillants, dont Conficker.
En octobre 2015, Lexsi tirait la sonnette d’alarme sur la sécurité des systèmes industriels, les fameux Scada. Il soulignait en particulier l’absence d’antivirus actif et à jour sur les postes de travail et serveurs isolés, déconnectés d’Internet, du fait de l’illusion de sécurité que produit cet isolement… mais « qui a engendré, pour 50 % des cas, la présence du ver Conficker sur des postes de supervision industrielle ».
Dans une note de synthèse publiée en décembre dernier, les équipes de Dragos étaient on ne peut plus claires : « de nombreuses familles de ransomware affectant les systèmes de contrôle industriel se concentrent sur l’IT ». Pour autant, « de tels rançongiciels peuvent avoir des effets perturbateurs sur les opérations », directs en cas de mauvaise hygiène de sécurité, comme indirects.