Une erreur dans le texte ?

C'est le bon endroit pour nous l'indiquer !
Attention, ce formulaire ne doit servir qu'à signaler une erreur. N'hésitez pas à utiliser les commentaires pour donner votre avis, ou la page de contact pour nous contacter. Merci.

Etape 1

Cliquez sur les paragraphes contenant des erreurs !

Pour paralyser Colonial Pipeline, les hackers n'ont eu besoin que de l'accès à un compte VPN

Un seul compte compromis peut suffire à faire tomber tout un réseau. Début mai 2021, l'attaque rançongiciel contre le gestionnaire d'oléoduc Colonial Pipeline mobilisait les plus hautes autorités américaines. Juste après la découverte de l'incident, l'entreprise avait décidé d'arrêter toute son activité, le temps d'analyser la situation, et de s'assurer qu'elle n'empire pas.

Les pouvoirs publics craignaient une paralysie prolongée de l'approvisionnement en gasoil et essence de toute la côte est américaine, qui aurait pu se transformer en crise nationale, voire mondiale. Le président Joe Biden s'était lui-même saisi de l'affaire, sous fonds de relations diplomatiques tendues avec la Russie.

Exactement un mois plus tard, le 7 juin, l'entreprise Mandiant, en charge de l'enquête interne sur l'incident, a livré ses premières conclusions à Bloomberg. Elle a découvert le point d'entrée des hackers chez leurs victimes : le compte VPN d'entreprise d'un des employés. Détail étrange : il n'était plus actif, mais disposait toujours d'un accès au réseau de Colonial Pipeline. Pour rappel, les VPN permettent de sécuriser la connexion à distance au réseau de l'entreprise. Mais faut-il encore que ce soit bien l'employé qui manipule le compte.

Grâce à cet accès, les hackers -- des affiliés du gang Darkside -- se sont infiltrés sur le réseau interne de Colonial Pipeline le 29 avril. Pendant plus d'une semaine, ils ont préparé leur attaque rançongiciel, avant de la déclencher le 7 mai, un vendredi, à 5 heures du matin.

Comment les hackers ont-ils obtenu l'accès au VPN ?

La voie d'entrée des hackers sur le réseau de la victime a été identifiée, mais une deuxième question s'impose : comment ont-ils obtenu l'accès au compte ? Sur ce point, Mandiant n'a pas de certitude, et ne peut que se contenter d'explorer différentes pistes. D'ailleurs, les enquêteurs concèdent à Bloomberg qu'ils pourraient ne jamais avoir le fin mot de l'histoire.

Ils ont tout de même retrouvé un mot de passe identique à celui du compte VPN dans une base de données de mots de passe fuités, accessible sur les marchés noirs. De plus, le compte n'était pas protégé par la double authentification, un standard de sécurité pourtant très répandu. Autrement dit, le simple mot de passe aurait pu suffire à se connecter au compte, ce qui fait émerger différents scénarios :

Ce mystère pourrait se dissiper dans les semaines à venir, puisque l'enquête continue. Et ce n'est pas tout : Joseph Blount, le CEO de Colonial Pipeline, va devoir s'expliquer devant le Congrès la semaine prochaine, et il devra donner des détails sur l'attaque. Surtout il devra justifier pourquoi l'entreprise a payé la rançon demandée par Darkside, estimée entre 4,4 et 5 millions de dollars selon les sources.