Un ransomware déclenche un état d’urgence aux USA

ransomware États-Unis état d'urgence

L’interruption des activités d’un opérateur de pipelines touché par un ransomware a entraîné des mesures exceptionnelles dans 18 États.

Du Texas au New Jersey, une partie des USA est depuis quelques heures sous état d’urgence*. La cause : un ransomware qui a perturbé l’activité de Colonial Pipeline.

Cette entreprise exploite près de 9000 km de conduites entre Houston et le port de New York. Elle dit transporter l’équivalent de 2,5 millions de barils par jour et desservir 50 millions d’Américains. Aux dernières nouvelles, l’essentiel de son réseau reste à l’arrêt. Il en est ainsi depuis le 7 mai, en conséquence dudit ransomware – qui pourrait être DarkSide.

carte pipelines

Rien n’indique, en l’état, que l’attaque a touché les systèmes de contrôle des pipelines. Colonial Pipeline semble les avoir mis hors ligne par précaution, le temps de rétablir son système d’information, quant à lui effectivement affecté. Il est question d’une centaine de Go de données prises en « otage », avec demande de rançon.

La décision de Colonial Pipeline se justifie d’autant plus qu’il existe des jonctions entre son IT et ses systèmes de contrôle industriel. Notamment pour échanger des informations sur les quantités de fluide distribuées. Et facturer en conséquence. L’interface se ferait au travers de passerelles Cisco ASA… qui ont un historique de failles de sécurité. Il existe aussi des connexions (par satellite) avec les fermes de réservoirs qui alimentent les pipelines.

L’incident intervient peu après la mise en place d’un plan sur 100 jours pour améliorer la cybersécurité du réseau électrique américain. Une démarche que la Maison Blanche entend étendre aux réseaux de distribution du gaz et de l’eau.

fragilités pipelines

Crainte sur les OIV

Ce n’est pas, et de loin, la première mesure que l’administration américaine prend en faveur de ses opérateurs d’importance vitale dans le domaine de l’énergie. En début d’année, la CISA, homologue de notre ANSSI, a publié une « boîte à outils » à destination de tous les secteurs qui s’appuient sur des pipelines. Sa mise à disposition s’inscrit dans la Pipeline Cybersecurity Initiative, partenariat public-privé amorcé en 2018.

Cette même année, la Government Accountability Office avait tiré la sonnette d’alarme. L’équivalent de notre Cour des comptes avait déploré l’absence de processus documentés pour le contrôle de la cybersécurité des systèmes industriels. Et tout simplement le manque de tels contrôles.

La Transport Security Administration, dépendante du département de l'Intérieur, a édicté des bonnes pratiques pour la sécurité des pipelines. Mais elles ne sont pas contraignantes pour les entreprises privées. Tout comme le framework du NIST pour la cybersécurité des infrastructures critiques.

Début 2020, on avait déjà eu connaissance d'un ransomware chez un opérateur de pipelines. Plus précisément de gazoducs. Une usine de compression avait été touchée. L'entreprise n'avait pas perdu de la visibilité sur son infrastructure, qu'elle avait dû couper pour deux jours. La CISA n'a jamais communiqué son identité.

* L'État d'urgence concerne dix-huit États du sud et de l'est des USA. Il y autorise l'acheminent de tous dérivés pétroliers par voie routière.

Illustration principale © BoredWithACamera / CC BY 2.0