L’entreprise, qui a remis ses oléoducs en ordre de marche, aurait presque immédiatement procédé au paiement de la rançon. Mais finalement, il était plus simple de restaurer les systèmes à partir des sauvegardes.
Les forces de l’ordre le disent sans cesse : ne payez pas les rançons demandées par les pirates. Dans le cas de Colonial Pipeline, ils avaient sans doute raison. Selon Bloomberg, l’opérateur d’oléoducs américains aurait payé au groupe de pirates DarkSide une rançon de 5 millions de dollars pour pouvoir débloquer ses systèmes informatiques. Mais cette dépense était visiblement inutile. L’entreprise aurait bien reçu la clé secrète, mais le processus de déchiffrement se serait révélé trop long. Elle aurait donc finalement restauré ses systèmes à partir des sauvegardes. Les pipelines ont pu être remis en activité mercredi dernier.
Cette rançon aurait été payée dès vendredi 7 mai, peu après l’infection des systèmes informatiques. Pourtant, plusieurs médias, dont Reuters et The Washington Post, avaient indiqué cette semaine que l’entreprise n’avait aucune intention de payer une rançon. Aux États-Unis, payer une rançon peut d’ailleurs mener à une condamnation pénale. Il est possible que dans le cas de Colonial Pipeline, ce paiement se soit fait en accord avec les autorités, étant donné la criticité de l’infrastructure. Par ailleurs, il ne faut pas oublier que les pirates ont également exfiltré 100 Go de données. Les 5 millions de dollars empêcheront — peut-être — leur publication. Mais rien n’est moins sûr.
Un arrêt pour raison comptable ?
Cette histoire montre également le niveau d’interdépendance entre les systèmes informatiques et les systèmes industriels. Colonial Pipeline a précisé que seuls les premiers étaient affectés par l’attaque du ransomware, et que l’arrêt des seconds avait été décidé pour des raisons de sécurité. Selon la journaliste Kim Zetter, il se pourrait que la véritable raison soit d’ordre comptable. Les systèmes industriels auraient très bien pu continuer à fonctionner, mais l’entreprise — dépourvue de son système d’information — n’aurait plus été en capacité d’assurer la comptabilité de ses livraisons d’hydrocarbures.
source : 01net