Un seul compte compromis peut suffire à faire tomber tout un réseau. Début mai 2021, l’attaque rançongiciel contre le gestionnaire d’oléoduc Colonial Pipeline mobilisait les plus hautes autorités américaines. Juste après la découverte de l’incident, l’entreprise avait décidé d’arrêter toute son activité, le temps d’analyser la situation, et de s’assurer qu’elle n’empire pas.

Les pouvoirs publics craignaient une paralysie prolongée de l’approvisionnement en gasoil et essence de toute la côte est américaine, qui aurait pu se transformer en crise nationale, voire mondiale. Le président Joe Biden s’était lui-même saisi de l’affaire, sous fonds de relations diplomatiques tendues avec la Russie.

The Pirate Bay : les plaignants demandent réparation… à cause du sexe

Un des sites de Colonial Pipeline, fermé le temps de l’incident. // Source : YouTube-Colonial Pipeline

Exactement un mois plus tard, le 7 juin, l’entreprise Mandiant, en charge de l’enquête interne sur l’incident, a livré ses premières conclusions à Bloomberg. Elle a découvert le point d’entrée des hackers chez leurs victimes : le compte VPN d’entreprise d’un des employés. Détail étrange : il n’était plus actif, mais disposait toujours d’un accès au réseau de Colonial Pipeline. Pour rappel, les VPN permettent de sécuriser la connexion à distance au réseau de l’entreprise. Mais faut-il encore que ce soit bien l’employé qui manipule le compte.

Grâce à cet accès, les hackers — des affiliés du gang Darkside — se sont infiltrés sur le réseau interne de Colonial Pipeline le 29 avril. Pendant plus d’une semaine, ils ont préparé leur attaque rançongiciel, avant de la déclencher le 7 mai, un vendredi, à 5 heures du matin.

Comment les hackers ont-ils obtenu l’accès au VPN ?

La voie d’entrée des hackers sur le réseau de la victime a été identifiée, mais une deuxième question s’impose : comment ont-ils obtenu l’accès au compte ? Sur ce point, Mandiant n’a pas de certitude, et ne peut que se contenter d’explorer différentes pistes. D’ailleurs, les enquêteurs concèdent à Bloomberg qu’ils pourraient ne jamais avoir le fin mot de l’histoire.

Ils ont tout de même retrouvé un mot de passe identique à celui du compte VPN dans une base de données de mots de passe fuités, accessible sur les marchés noirs. De plus, le compte n’était pas protégé par la double authentification, un standard de sécurité pourtant très répandu. Autrement dit, le simple mot de passe aurait pu suffire à se connecter au compte, ce qui fait émerger différents scénarios :

  • Le propriétaire du compte VPN aurait réutilisé son mot de passe sur plusieurs comptes, dont celui du VPN. Ce mot de passe aurait fait partie d’une fuite de données d’un des services qu’utilisait l’employé, et les hackers auraient eu l’idée de le tester sur son VPN d’entreprise. Reste à savoir comment les hackers auraient trouvé, ou deviné, l’identifiant associé au mot de passe.
  • Les hackers auraient soudoyé l’employé pour qu’il donne l’accès à son compte. C’est une technique assez largement utilisée, contre laquelle les entreprises n’ont que très peu de parades.
  • L’employé aurait mordu à un phishing qui visait ses identifiants et les aurait donc communiqués aux hackers par erreur. Mandiant n’a pas trouvé de trace d’un tel incident, mais l’attaque aurait pu être lancée sur une adresse email privée de l’employé, hors du réseau de l’entreprise.

Ce mystère pourrait se dissiper dans les semaines à venir, puisque l’enquête continue. Et ce n’est pas tout : Joseph Blount, le CEO de Colonial Pipeline, va devoir s’expliquer devant le Congrès la semaine prochaine, et il devra donner des détails sur l’attaque. Surtout il devra justifier pourquoi l’entreprise a payé la rançon demandée par Darkside, estimée entre 4,4 et 5 millions de dollars selon les sources.