Colonial Pipeline, qui détient le plus grand oléoduc sur le sol américain, est infecté par un code malveillant. La police fédérale américaine refuse de communiquer quant au versement possible d’une rançon. Seule indication de la part du FBI, le ransomware DarkSide serait à l’origine de l’attaque. Un vent de panique concernant une hausse du prix des carburants, ou encore un impact sur l’économie, affole la population outre-Atlantique. Cet oléoduc transporte essence et diesel sur près de 9000 kilomètres à travers les États-Unis, de Houston (Texas) jusqu’au port de New York.

Colonial Pipeline est la firme qui délivre quotidiennement plus de 380 millions de litres de fioul, elle a cessé toutes opérations samedi 8 mai 2021. La distribution représente quasiment 45 % des carburants consommés sur la côte est américaine. « Le 7 mai, la compagnie Colonial Pipeline a appris qu’elle était victime d’une attaque de cybersécurité », explique le groupe.

Une faille dans les tuyaux de l’énergie

Dans un communiqué laconique, Colonial Pipeline confirme avoir placé à l’arrêt toutes ses actions. « Nous avons mis certains de nos systèmes hors ligne par précaution afin de contenir la menace, ce qui a temporairement interrompu toutes les opérations de pipelines et affecté certains de nos systèmes informatiques. » En coulisses, l’information circule, le groupe est victime du ransomware DarkSide.

Le président des États-Unis, Joe Biden, continue d’être régulièrement renseigné de l’incident du Colonial Pipeline, stipule le site de la Maison-Blanche. L’institution apprécie en permanence la répercussion de cet incident sur le ravitaillement en carburant de la côte est.

« Nous surveillons les pénuries d’approvisionnement dans certaines parties du Sud-Est et évaluons toutes les mesures que l’administration peut prendre pour atténuer l’impact autant que possible. »

Le locataire de la Maison-Blanche a ordonné aux agences du gouvernement fédéral de mobiliser leurs ressources pour aider à édulcorer les déficits là où ils se produisent.

(Crédits : AFP)

Des responsables américains ont cherché à apaiser les inquiétudes, soulignant que les répercussions ont été modestes jusqu’à présent. Pour autant, les prix de l’essence aux États-Unis avaient augmenté de 1,5 % lundi matin, d’après la BBC.

Inquiétudes au Québec

L’arrêt du pipeline a des conséquences immédiates : files d’attente interminables devant les stations-service, flambée des prix à la pompe, et crainte de pénuries dans plusieurs États du Sud-Est. Des mesures d’urgence sont prises pour réacheminer le carburant par voie terrestre ou maritime. Les aéroports de Baltimore, Atlanta, Charlotte ou encore Nashville devront décider quant à leur alimentation en kérosène, dès demain mercredi 12 mai 2021. Au Québec, le gestionnaire d’actifs des épargnes des travailleurs possède 1,5 milliard de dollars américains de participations.

« Oui, la Caisse détient une participation dans Colonial Pipeline », corroborait le porte-parole de la Caisse de dépôt Maxime Chagnon, joint dimanche après-midi par La Presse.

« Le ransomware DarkSide est responsable de la compromission des réseaux de Colonial Pipeline », confirme le FBI. Les enquêteurs ont déterminé l’origine de l’agression dès lundi, par deux faits. Le premier concerne le langage utilisé, le russe. Le second vise le codage, qui est réalisé pour ne pas s’attaquer aux entreprises qui usent de claviers russes, selon l’agence gouvernementale. Cette opération révèle au grand jour une nouvelle forme de vulnérabilité nationale. Pour la première fois, une cyberattaque non étatique paralyse un pan entier de l’économie américaine.

(Crédits : Mikhaël Noury/Pexels)

« Nous continuons à travailler avec l’entreprise et nos partenaires gouvernementaux sur l’enquête. » Le président du Bureau ovale indiquait que rien ne permet pour le moment de conclure à une participation de Moscou. Le Kremlin a nié mardi être impliqué dans cette opération. « La Russie n’a rien à voir avec ces cyberattaques. La Russie n’avait rien à voir avec les cyberattaques perpétrées précédemment », souligne le porte-parole du Kremlin, Dimitri Peskov. « Nous rejetons catégoriquement toute accusation à notre endroit à ce sujet. »

DarkSide, la face obscure du hacking rentable

Apparu à l’été 2020, le rançongiciel DarkSide fait ses classes. Vraisemblablement issu de la sphère russophone, il se distingue dès ses premières attaques par un code sophistiqué et un modèle économique structuré : celui du RaaS, Ransomware-as-a-Service. Il repose sur la location de leur rançongiciel à des affiliés, en échange d’un pourcentage sur les rançons versées.

L’organisation se revendique de proposer un « produit visant uniquement les grandes entreprises ».

D’après plusieurs sources concordantes, Colonial Pipeline aurait payé 4,4 millions de dollars en cryptomonnaie pour recouvrer ses données. Le FBI parviendra à retracer une partie de la transaction et à récupérer une portion des fonds, soit 2,3 millions de dollars américains.

Après 2021, plusieurs groupes cybercriminels apparaissent. Ils possèdent des méthodes similaires à celles de DarkSide, notamment BlackMatter et AlphV (BlackCat). Le modèle RaaS, quant à lui, continue de prospérer, décentralisant les attaques et brouillant les pistes d’attribution. (Crédits : Antoni Shkraba Studio/Pexels)

Les spécialistes parlent déjà d’un tsunami numérique, non pas pour son ampleur destructrice, mais pour la prise de conscience brutale qu’il a provoquée. L’organisation fait sa dernière apparition le 13 mai 2021, la possible dispersion dans d’autres groupes similaires tels que Revil/Sodinokibi ou Ragnar Locker est avérée. La fin du ransomware REvil est actée par le FSB en 2022.