Le ransomware DarkSide suspecté d'être à l'origine de l'attaque de Colonial Pipeline

Alexandre Boero
Chargé de l'actualité de Clubic
10 mai 2021 à 19h52
2
© Colonial Pipeline
© Colonial Pipeline

L'un des géants américains d'oléoducs, Colonial Pipeline, a été victime d'un ransomware vendredi connu sous le nom de « DarkSide ». Ce dernier, relativement récent, serait spécialisé dans la pratique de la double extorsion. Mais il respecterait surtout plusieurs principes.

La société Colonia Pipeline, qui livre son carburant de Houston (Texas) au port de New York, en passant par la Louisiane, l'Alabama ou encore le Tennessee, a constaté être victime d'un ransomware le vendredi 7 mai. L'un des principaux opérateurs d'oléoducs des États-Unis a rapidement mis hors ligne certains systèmes critiques pour contenir la menace, avant de relancer une partie de son réseau ce dimanche. En ce début de semaine, les informations affluent et selon plusieurs experts cyber, l'attaque proviendrait du groupe DarkSide, aux activités tout à fait paradoxales. Au-delà de cette seule attaque, on peut aussi y voir un virage de la « grande cybercriminalité », qui sait plus que jamais où sont ses priorités.

Lire aussi :
Des chercheurs ont réussi à pirater une Tesla à l'aide d'un drone (et Tesla a déjà patché la faille)

Le groupe assaillant supposé rapidement identifié

Durant de longues heures ce week-end, Colonial Pipeline a dû interrompre toutes ses opérations de distribution de fioul, diesel, gaz naturel et essence. Pendant ce temps, l'entreprise a fait intervenir des experts en cybersécurité extérieurs à celle-ci, qui ont lancé une enquête sur la nature et la portée de l'incident. Le tout, en restant en contact avec les autorités fédérales américaines, dont le département de l'Énergie.

Dimanche soir, si les quatre lignes principales de l'opérateur restaient coupées, certaines lignes latérales, plus petites, étaient désormais opérationnelles, pour relancer la connexion entre les terminaux et les points de livraison. « À l'heure actuelle, notre objectif principal continue d'être la restauration sûre et efficace du service de notre réseau de pipelines, tout en minimisant les perturbations pour nos clients et tous ceux qui comptent sur Colonial Pipeline », indiquait la firme il y a quelques heures. Désormais, elle œuvre activement sur un plan de redémarrage, destiné à relancer les lignes principales.

On en sait désormais plus sur l'attaque. Plusieurs sources américaines s'accordent autour d'un nom, en ce qui concerne l'auteur des faits. Le groupe DarkSide serait en effet à l'origine de la cyberattaque de ransomware. Il serait connu comme étant issu d'une source de rançongiciel assez récente, puisque sa première apparition remonterait au mois d'août 2020, selon Assaf Dahan, Directeur de l'équipe de recherches Nocturnus de Cybereason.

Lire aussi :
Qu'est-ce qu'un bloatware et comment s'en débarrasser ?

Un groupe qui s'est très vite professionnalisé

Le groupe DarkSide est réputé pour s'être très vite professionnalisé et organisé. Il aurait d'ailleurs déjà généré des millions de dollars de profits. « Notre équipe de recherche Cybereason Nocturnus évalue le niveau de menace du groupe DarkSide comme élevé étant donné le potentiel destructeur de ses attaques », précise Assaf Dahan. Une infection par DarkSide peut être suivie d'une demande de rançon pouvant aller de 200 000 à 2 millions de dollars. On imagine que dans le cas de Colonial Pipeline, celle-ci pourrait être encore plus élevée.

Adepte de la double extorsion (exfiltration des données puis menace de les rendre publiques), le groupe DarkSide opère en tentant de s'infiltrer dans le réseau de l'entreprise, avec le but de compromettre le contrôleur du domaine, « le centre névralgique du réseau », note Assaf Dahan. Ensuite, les cybercriminels se déplacent de façon latérale dans le réseau, « avant de déclencher leur charge et générer l'impact le plus large possible ».

Ce qui étonne, dans le bon sens du terme, c'est que DarkSide aurait adopté une sorte de code de conduite qui lui interdirait de mener des attaques contre des hôpitaux, universités, écoles, agences gouvernementales et organisations à but non lucratif.

Lire aussi :
Faille dans les modems Qualcomm : près de 30 % des smartphones Android vulnérables aux écoutes ?

DarkSide, du bon côté de la force ?

DarkSide préfère se concentrer sur des infrastructures nationales qui peuvent aussi bien être des cibles faciles que de gros portefeuilles. « Une société comme Colonial Pipeline sera potentiellement plus encline à payer pour éviter d’énormes pertes financières liées à une longue coupure d’activité », explique Grant Geyer, Directeur des produits de Claroty, entreprise spécialisée dans la cybersécurité des systèmes industriels. « Les environnements industriels fonctionnent avec des infrastructures qui utilisent généralement des technologies obsolètes qui ne peuvent pas être corrigées, et avec un personnel qui n'est souvent pas aussi compétent en matière de cybercriminalité qu'il devrait l'être pour tenir les attaquants à distance. Il en résulte une situation dans laquelle les niveaux de risque de cybersécurité sont inférieurs aux seuils de tolérance acceptables et, dans certains cas, les organisations ne sont pas conscientes du risque », ajoute l'expert.

Grant Geyer va même plus loin en indiquant que le secteur de l'énergie est aujourd'hui l'un des plus exposés et touchés par les vulnérabilités dites « ICS » (systèmes de contrôle industriel). En deux ans, les vulnérabilités ont cru de 74 %. « Cette cyberattaque contre Colonial Pipeline n'est qu'un aperçu de ce à quoi vont ressembler les cyberattaques à l'avenir », prédit-il.

Mais DarkSide s'est récemment distingué "en proposant un don à plusieurs organisations caritatives, environ 20 000 dollars en bitcoins, mais celles-ci ont évidemment refusé en raison de la provenance des fonds", nous apprend Assaf Dahan.

Ce qui est certain désormais, c'est que les attaquants sont tournés vers des entités à risque, qui privilégient davantage la facilité d'un accès à distance (et donc une facilité opérationnelle) à la sécurité, pourtant essentielle au maintien de service. Cela vient aider les cybercriminels à se frayer un chemin dans les défenses les moins robustes.

Alexandre Boero

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de CLUBIC. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM), pour écrire, interroger, filmer, monter et produire au quotidien. Des atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la prod' vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et Koh-Lanta :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (2)

Peter_Vilmen
Les fans de cryptos nous diront qu’il est évident que les pirates ont demandé un virement sur le compte bancaire HSBC de la grand-mère d’un des attaquants, ou encore une malette remplie de billets à déposer au milieu du désert, ou peut-être cinq Range Rover Evoque à livrer à leur domicile, n’est-ce pas ?<br /> Il faut rendre à César ce qui appartient à César, les dégats causés par les ransomwares doivent être soustraits au solde des bénéfices qu’offrent les cryptos en leur qualité actuelle. M’enfin, autant parler à un mur, dès qu’une personne possède quelques $ en cryptos, c’est plus une poutre qu’il faut déjouer mais une prison haute sécurité avec des gardes cyborgs munis de railguns.
dFxed
Je comprends votre propos, mais je pense qu’il est mal dirigé. N’importe quelle organisation terroriste utilise une monnaie pour se financer, virtuelle ou pas.<br /> Est-ce que les cryptos sont utilisées par des criminels ? Oui, comme n’importe quelle autre monnaie. Cela n’en fait pas pour autant un instrument du diable.<br /> Et ça, sans parler des criminels en col blanc, qui volent aux travailleurs leur dû… en toute légalité.
Peter_Vilmen
@dFxed l’erreur ici est de placer les cryptos au même niveau que les autres monnaies, je vais essayer d’être succint pour éviter d’endormir :<br /> Argent liquide (inclut «&nbsp;Autres&nbsp;») :<br /> Risqué à utiliser pour biens/services illégaux (contact direct/indirect)<br /> Lent à distance<br /> De plus en plus difficilé à blanchir grâce aux banques et états<br /> Difficile à contrôler, facile à cacher, mais les forces de l’ordre peuvent généralement retrouver l’argent s’ils le veulent<br /> Système bancaire :<br /> Très risqué à utiliser pour les biens/services illégaux<br /> Instantané<br /> Presque impossible à blanchir car laisse des traces numériques traçables<br /> Contrôlé par les états &amp; banques, de plus en plus difficile à cacher, peut être saisis facilement<br /> Cryptos :<br /> Extrêmement facile d’utilisation pour acheter des biens/services illégaux<br /> Instantané<br /> Extrêment facile à blanchir<br /> Extrêment difficile à contrôler (1 seconde pour créer une addresse anonyme)<br /> Les cryptos ne sont pas juste une autre monnaie, les cryptos sont une révolution technologique pour tous les criminels, c’est le paiement rêvé et parfait du criminel. Les gens qui parlent de banques qui aident les criminels, de gangsters qui usent du cash, … ils nient sciemment l’évidence qui est purement logique/mathématique.
Voir tous les messages sur le forum

Top meilleurs antivirus

Bitdefender
Bitdefender Voir l'offre
Norton 360
Norton 360 Voir l'offre
Avast One
Avast One Voir l'offre
  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

Le ransomware DarkSide suspecté d'être à l'origine de l'attaque de Colonial Pipeline Le ransomware DarkSide suspecté d'être à l'origine de l'attaque de Colonial Pipeline
Les États-Unis ont réussi à récupérer une partie de la rançon payée aux hackers de Colonial Pipeline Les États-Unis ont réussi à récupérer une partie de la rançon payée aux hackers de Colonial Pipeline
Ragnarok, gang spécialisé dans le ransomware, met la clé (de déchiffrement) sous la porte Ragnarok, gang spécialisé dans le ransomware, met la clé (de déchiffrement) sous la porte
Sécurité informatique : demandes de rançons et cassage de mots de passe en forte hausse en 2021 Sécurité informatique : demandes de rançons et cassage de mots de passe en forte hausse en 2021
L'ANSSI dresse le panorama d'une menace informatique qui se professionnalise toujours plus L'ANSSI dresse le panorama d'une menace informatique qui se professionnalise toujours plus