Colonial Pipeline
Un seul mot de passe VPN sans double authentification a coupé la moitié de l’approvisionnement en essence de la côte est des États-Unis.
En mai 2021, le plus grand oléoduc des États-Unis s’est arrêté. Pendant une semaine, les stations-service de la Géorgie au New Jersey ont recouvert leurs pompes de sacs plastiques pendant que les automobilistes faisaient des stocks de carburant — parfois dans des poubelles.
Un mot de passe ayant fuité
L’intrusion n’a pas exigé une opération de haut vol. Les enquêteurs ont fini par remonter à un seul jeu d’identifiants — un nom d’utilisateur et un mot de passe pour un compte VPN obsolète, sans second facteur, ayant fuité dans un dump antérieur sans rapport.
Les attaquants étaient un groupe russophone de ransomware-as-a-service nommé DarkSide. Ils n’ont pas touché directement à la partie opérationnelle de l’oléoduc. Ils ont chiffré le côté informatique : facturation, dispatching, toute la machinerie de bureau qui fait tourner un pipeline à l’échelle d’un continent. Colonial a coupé l’oléoduc lui-même par précaution.
Le retour des reçus
Colonial a payé environ 4,4 millions de dollars en bitcoins. Quelques semaines plus tard, le FBI annonçait avoir récupéré une part substantielle de la rançon en suivant les fonds sur la blockchain et en obtenant la clé privée d’un des portefeuilles. L’infrastructure de DarkSide a été mise hors-ligne peu après — même si, comme souvent dans le monde du ransomware, plusieurs de ses opérateurs ont reparu sous un nouveau nom quelques mois plus tard.
Ce que la chronique retient
Colonial est l’incident qui a fait basculer le ransomware d’un problème d’informatique d’entreprise à un problème de sécurité nationale. Il a aussi exposé la finesse de la membrane qui sépare l’hygiène ennuyeuse des identifiants de la file d’attente devant une station-service à sec.