Il y a près de trois ans, le pipeline Colonial a été attaqué et fermé pendant six jours, provoquant une pénurie de gaz. Washington D.C. et 17 autres États ont déclaré l'état d'urgence.

Aperçu de l'attaque du Colonial Pipeline

Colonial Pipeline a été touché par un rançongiciel en mai 2021, affectant plusieurs systèmes numériques et entraînant sa fermeture pendant plusieurs jours. L'incident a touché à la fois les consommateurs et les compagnies aériennes de la côte Est. Considéré comme un risque pour la sécurité nationale, l'oléoduc transportant du pétrole des raffineries vers les marchés industriels, il a incité le président américain Joe Biden à déclarer l'état d'urgence.

Le Colonial Pipeline est l'un des plus grands et des plus importants oléoducs des États-Unis. Inauguré en 1962, il permet de transporter le pétrole du golfe du Mexique vers la côte Est. Ce réseau, qui s'étend sur plus de 8 800 kilomètres, part du Texas et traverse le New Jersey. Il assure l'approvisionnement en pétrole raffiné de la côte Est, notamment pour l'essence, le kérosène et le fioul domestique.

De nombreuses stations-service aux États-Unis sont à court de carburant en raison de la fermeture du réseau de pipelines Colonial, en mai 2021. Photo : NBC News

Le 6 mai 2021, le groupe de pirates DarkSide a accédé au réseau de Colonial Pipeline et a volé 100 Go de données en deux heures. Ils ont ensuite infecté le réseau informatique avec un rançongiciel, affectant plusieurs systèmes informatiques, notamment ceux de la comptabilité et de la facturation.

Colonial Pipeline a dû fermer le pipeline pour empêcher la propagation du rançongiciel. La société de sécurité Mandiant a ensuite été appelée pour enquêter sur l'attaque. Le FBI, l'Agence de cybersécurité et de sécurité des infrastructures, le ministère de l'Énergie et le ministère de la Sécurité intérieure ont également participé à l'enquête.

Le 7 mai 2021, la plus grande société d'oléoducs des États-Unis a dû payer une rançon de 75 bitcoins, d'une valeur d'environ 4,4 millions de dollars, à des pirates informatiques pour obtenir la clé de déchiffrement. L'oléoduc a été remis en service le 12 mai 2021.

Lors d'une audition devant le Congrès américain le 8 juin 2021, Charles Carmakal, vice-président senior et directeur technique de Mandiant, a déclaré que l'attaquant avait pénétré le réseau grâce à un mot de passe divulgué depuis un compte VPN. De nombreuses organisations utilisent des VPN pour accéder à distance à des réseaux d'entreprise sécurisés.

Selon le témoignage de Carmakal, un employé de Colonial Pipeline aurait partagé un mot de passe VPN avec un autre compte, mais ce mot de passe a été divulgué lors d'une autre violation de données. Partager un mot de passe sur plusieurs comptes est une erreur courante.

Lors de l'audience, Joseph Blount, PDG de Colonial Pipeline, a expliqué les raisons de son paiement de la rançon. Au moment de l'attaque, il ignorait l'ampleur de l'infection ni le temps nécessaire à la restauration du système. Il a donc pris cette décision dans l'espoir d'accélérer la récupération.

Après avoir retracé le paiement, le ministère américain de la Justice a découvert l'adresse numérique du portefeuille utilisé par l'attaquant et a obtenu une ordonnance du tribunal pour saisir les bitcoins. L'opération a ainsi permis de récupérer 64/75 bitcoins, d'une valeur d'environ 2,4 millions de dollars.

L'« héritage » de l'attaque du pipeline colonial

C'est la première fois que le pays prend conscience de l'existence de rançongiciels, forçant le Congrès à adopter de nouvelles lois et incitant les agences fédérales à adopter de nouvelles exigences en matière de cybersécurité. Les attaques de rançongiciels ne sont pas nouvelles : elles ont déjà ravagé des gouvernements, des établissements de santé et des écoles avant Colonial Pipeline. Mais la différence réside dans leur impact régional, a déclaré Ben Miller, vice-président des services chez Dragos, une entreprise de sécurité des infrastructures.

« J'ai appris plus tard qu'il faut une certaine attention lorsqu'il y a un réel impact sur la vie des gens », a déclaré Charles Carmakal, vice-président senior de la société de sécurité Mandiant, qui a participé à l'enquête sur l'incident du Colonial. « Lorsqu'il s'agit de gaz et de viande, les gens s'en soucient vraiment. »

L'incident du pipeline Colonial a laissé de nombreuses compagnies aériennes à court de carburant et certains aéroports ont été fermés. Les inquiétudes concernant les pénuries d'essence ont provoqué la panique et de longues files d'attente dans les stations-service de nombreux États. Les prix moyens à la pompe ont également grimpé en flèche en raison de la panne du pipeline. Dans certains États, les gens versaient même de l'essence dans des sacs en plastique, ce qui a incité la Commission américaine de sécurité des produits de consommation à émettre un avertissement invitant à n'utiliser que les contenants prévus à cet effet.

L'attaque du pipeline Colonial a obligé chacun à prendre au sérieux les risques de sécurité et à adopter des politiques jusque-là négligées. Selon Mike Hamilton, ancien responsable de la sécurité informatique de la ville de Seattle, il a été difficile d'amener le gouvernement fédéral à donner la priorité aux exigences de sécurité des infrastructures critiques.

Les incidents ultérieurs survenus fin 2021, dont un visant le producteur de viande JBS Foods, ont accru la pression sur les décideurs politiques, les régulateurs et les dirigeants. Ils ont incité ces derniers à revoir leurs propres plans de réponse aux rançongiciels. Miller a indiqué que l'intérêt pour les plans de réponse est devenu beaucoup plus détaillé.

Néanmoins, une réglementation et des changements dans le secteur sont nécessaires. Wendi Whitmore, vice-présidente principale du renseignement sur les menaces chez Palo Alto Networks Unit 42, a déclaré qu'il devrait y avoir des accords multilatéraux entre les pays pour lutter contre les rançongiciels.

(Selon Axios, Tech Target)