Un blockbuster vénézuélien

Cela pourrait être un nouveau film à gros budget, mais ce n’est, in fine, qu’une réalité parmi tant d’autres. Dans l’hémisphère sud, c’est le Venezuela qui voit son système électrique puis bancaire attaqué. Tandis qu’en Suisse, des codes malveillants ont ciblé le canton de Vaud. Après la commune de Rolle, c’est la compagnie de navigation sur le Léman qui en fait les frais, ce une semaine avant la cinémathèque suisse qui a subi une agression de type ransomware, en date du 17 septembre 2021.

Tout a commencé le 30 mai 2021, lorsque l’administration de Rolle en Suisse essuyait une infection en bonne et due forme. Les opérateurs du groupe Vice Society sont à l’origine de celle-ci. « Il ne s’agit, en réalité, que d’une faible attaque. Nous avons sollicité l’aide de la Confédération et du Canton, qui nous ont demandé de rester discrets à ce sujet », affirme syndique Monique Choulat Pugnale. Elle est cheffe de l’exécutif et responsable de l’informatique de Rolle. De nombreux documents sont mis en ligne sur le Darknet. Des courriels, la planification financière… « On nous a piraté uniquement des mails, et ils ne contenaient aucune donnée sensible sur la Commune », assure-t-elle.

Les opérateurs derrière Vice Society ont ciblé pléthores de sociétés :

• Canada, Filgo
• Espagne, Jealsa
• France, l’hôpital d’Arles
• États-Unis, Barlow Respiratory Hospital, Plastipak Holdings, Inc, Eskenazi Health Foundation, Walter’s Automotive Group, Whitehouse Independent School District, Alliance COAL, LLC, Priority Building Services, LLC, McNamara & Thiel Insurance Agency, FREDERICK Public Schools
• Italie, Butali, 3V Sigma
• Nouvelle-Zélande, RDC Mondriaan, Waikato District Health Board
• Royaume-Uni, Gateway college
• Arabie Saoudite, Communications Solutions Company

Au mois d’août, le gymnase de Payerne subit une attaque, avant la compagnie de navigation sur le lac Léman (CGN). « L’attaque n’a duré que quelques jours avant que nous sécurisions le plus rapidement possible notre site internet, indiquait la directrice vente et marketing, Florentine Baron Pailhès. Par souci de précaution, nous avons informé […] par courrier tous les clients qui avaient commandé des billets sur notre site depuis fin avril ». Enfin, c’est la Cinémathèque suisse qui a subi, vendredi 17 septembre 2021 une tentative d’extorsion par ransomware. Ce malgré la sécurité informatique en place et les mises à jour régulières de ses systèmes de pare-feu, spécifie l’institution. Ce qui engendre le blocage de serveurs et la messagerie indisponible.

Fondée en 1948, elle est reconnue par la Fédération internationale des archives du film (FIAF) comme l’une des dix plus importantes au monde. Cela par l’étendue, la diversité et la qualité de ses collections en sa possession. Son siège administratif, ses salles de projection se situent à Lausanne, dans le canton de Vaud. La dernière a immédiatement alerté la Confédération (Centre National pour la Cybersécurité, NCSC) ainsi que la Police cantonale. Une analyse complète de cette intrusion est menée par la société Kudelski pour identifier la faille qui a permis cette attaque. L’étude et le contrôle de l’ensemble du réseau et des serveurs affectés sont toujours en cours.

Attaque terroriste

Le Venezuela détient la première réserve mondiale prouvée de pétrole brut (302,25 Mds de barils, soit 1/5 ème des réserves mondiales) et les 4e de gaz naturel. Le pays dispose également de vastes ressources minières (or, bauxite, fer, nickel, charbon…) et hydrauliques, ainsi que d’un potentiel agricole important. « Nous voulons signaler une nouvelle attaque contre le système électrique national dans le cadre de ce plan de sabotage permanent, qui fait partie de la guerre multiforme que nous recevons constamment », a affirmé Néstor Reverol, ministre vénézuélien de l’Énergie électrique, dimanche soir 12 septembre 2021 à travers des déclarations téléphoniques à la chaîne publique Venezolana de Televisión. Il a indiqué que l’« attaque terroriste » a frappé la sous-station d’Aragua à Santa Cruz, dans la municipalité de José Ángel Lamas, et a provoqué une « perte de charge dans plusieurs États du pays, car il s’agit d’un système interconnecté ». « Nous avons déjà récupéré la charge dans toute la région de la capitale, nous sommes en train de la récupérer complètement dans les États de Zulia, Mérida, Táchira, Nueva Esparta et Falcón, qui ont été partiellement touchés », a-t-il ajouté. Or des pannes d’électricité sont enregistrées depuis 2010, date à laquelle le rationnement a commencé. Elles se sont aggravées en 2019, après une surcharge de la centrale hydroélectrique Simón Bolívar, laissant le pays sans électricité pendant plusieurs jours.

Puis, c’est le système monétaire qui est convoité affirme le gouvernement vénézuélien. Dans un communiqué publié vendredi, la vice-présidence sectorielle de l’économie a indiqué que l’attaque visait spécifiquement la plateforme de Banco de Venezuela S.A., la principale institution du pays, avec l’intention de violer les actifs des clients. « Cette attaque informatique a affecté les activités des usagers de la banque, qui n’ont pu recourir aux services bancaires, effectuer des opérations et disposer de leurs ressources sur leurs comptes […] nous condamnons fermement ces projets terroristes », peut-on lire. Selon la déclaration, le piratage massif « avait pour but de faire disparaître et d’altérer les données bancaires du système financier vénézuélien », mais, ajoute-t-il, le point central de la cyberattaque a été détecté et neutralisé. « Nous avons demandé au ministère public d’ouvrir une enquête pénale approfondie pour trouver les responsables de cette action criminelle contre le système fiduciaire national. Nous veillerons à ce que justice soit faite. »

Attaque mondiale

De plus en plus de médias font publicité des attaques par codes malveillants de type ransomware. Celles dirigées contre des infrastructures étatiques sont quotidiennes. Mais celle qui touchait l’Ukraine, puis le monde entier le 27 juin 2017 est sans commune mesure. Il est 8 h 16, lorsqu’une bombe explose sous le véhicule du colonel Maksim Chapoval, le tuant instantanément. L’officier du renseignement militaire avait été chargé de rassembler des preuves de l’implication russe dans la guerre du Donbass, qui a fait plus de 10 000 morts depuis avril 2014, raconte Numerama. En quelques heures, des lignes de codes malveillantes se répandent de la même manière qu’une traînée de poudre dans les réseaux informatiques du pays, puis à l’étranger comme en France dès 15 h.

La similitude avec le rançongiciel Petya, apparu en 2016 est flagrante, mais Kaspersky Lab dément très rapidement tout lien entre ce nouveau virus employant l’exploit EternalBlue et les versions Petya. Il devient NotPetya. Il est en fait un wiper, dont le but n’est pas l’extorsion, mais la destruction pure et simple des données informatiques, par effacement. L’état ukrainien avait précédemment enduré deux black-out, l’un en décembre 2015, le second une année plus tard. Existe-t-il une similitude entre l’attaque subie par l’Ukraine et le Venezuela ? L’enquête est en cours…

Déjà en 2019 Pierre Alonso écrivait dans Libération « Pour Caracas, l’auteur est tout trouvé. Il s’agit, sans surprise, des États-Unis, ont répété les responsables vénézuéliens, sans présenter la moindre preuve. Leur soupçon est néanmoins légitime. Washington a un motif. L’administration Trump a reconnu et publiquement soutenu l’opposant, Juan Guaidó. Exacerber le chaos dans le pays, dirigé par Maduro, en le privant d’électricité tend évidemment à affaiblir le président en exercice. L’arme informatique présente l’avantage d’être invisible et difficilement attribuable : l’idéal pour intervenir sans avoir l’air d’y toucher. »