Colonial Pipeline et le péril grandissant des rançongiciels
Par Alexis Rapin
Chroniques des nouvelles conflictualités - Chaire Raoul-Dandurand
La récente opération de cyberextorsion contre une firme exploitante d’oléoducs est venue intensifier plusieurs grands débats sur la cybersécurité nationale des États-Unis. En pleine prolifération, les rançongiciels se profilent-ils comme une menace d’ordre stratégique ?
À la mi-mai 2021, un climat de choc pétrolier s’abat sur plusieurs régions de la côte Est américaine : durant près de 24 heures, environ 40 % des stations-service de Géorgie, de Caroline du Sud et de Virginie sont à court d’essence. En Caroline du Nord, près de 65 %. Washington D.C. frise quant à elle les 80 %. En cause, une cyberattaque ayant frappé quelques jours plus tôt Colonial Pipeline, entreprise exploitante d’oléoducs. Visée par un rançongiciel, la firme a été forcée de mettre à l’arrêt une conduite de 8800 km assurant près de la moitié de l’approvisionnement en hydrocarbure de la côte Est des États-Unis. Celle-ci restera désactivée pendant onze longues journées, générant dans la foulée une panique contagieuse et une ruée vers les pompes à essence.
Ce qui ressemble au départ à un énième brigandage numérique prend rapidement des proportions colossales à Washington. Le FBI ouvre immédiatement une enquête et identifie, en 24 heures à peine, les responsables : le groupe cybercriminel DarkSide. Trois jours plus tard, le président Joe Biden donne lui-même une conférence de pressespécialement dédiée à l’incident. Il promet notamment des représailles de l’appareil sécuritaire américain contre les coupables. Alors qu’un ordre exécutif sur la cybersécurité des États-Unis est en cours d’élaboration depuis de longues semaines par son administration, le président en précipite la publication pour signaler sa détermination face à l’incident. D’une simple tentative d’extorsion, la cyberattaque contre Colonial Pipeline est devenue en une semaine une crise de sécurité nationale.
Acheter la paix ?
Depuis lors, l’incident Colonial Pipeline a ravivé plusieurs acrimonieux débats sur la cybersécurité des États-Unis, et sur ce que Washington devrait faire, face au problème de plus en plus épineux des rançongiciels.
À commencer par l’enjeu des rançons elles-mêmes : alors que Colonial a reconnu avoir versé 4,4 millions de dollars américains aux pirates de DarkSide, certains experts en cybersécurité appellent maintenant le gouvernement à interdireofficiellement le paiement de rançons. Agir sur les incitatifs et garantir en amont qu’aucune tentative de cyberextorsion ne soit fructueuse serait, selon eux, le meilleur moyen d’endiguer l’actuelle prolifération de rançongiciels. Une alternative moins drastique pourrait être d’établir légalement certaines conditions selon lesquelles une entité est autorisée ou non à s’acquitter d’une rançon (pour l’heure, la loi américaine interdit uniquement de le faire au profit d’entités visées par des sanctions).
La question, cependant, présente de complexes ramifications. La plus évidente est que le bien-fondé de s’acquitter d’une rançon est à ce jour très difficile à prévoir. Lors de la vague d’attaque nord-coréenne WannaCry en 2017, les utilisateurs ayant ouvert leur portefeuille découvrirent douloureusement que payer ne servait à rien : les pirates ne leur communiquèrent aucun moyen de récupérer leurs données. Un récent rapport de la firme de cybersécurité Proofpoint indiquait qu’en 2020, plus de la moitié des victimes de rançongiciels disaient avoir versé la somme demandée, mais seulement 60 % d’entre eux avaient directement récupéré tous leurs fichiers. Le reste s’était vu demander des rançons additionnelles ou n’avait simplement rien obtenu. Du point de vue de la pure gestion de risques, aucune réponse évidente ne se dégage face au péril des rançongiciels.
Réguler l’argent du beurre
Un autre grand débat ravivé par l’incident Colonial Pipeline se focalise moins sur les rançons que sur le moyen de les payer : les bitcoins. Célébrées comme un instrument d’émancipation économique par les techno-libertariens, les cryptomonnaies s’avèrent pour l’heure aussi (voire surtout) un outil de choix pour les cybercriminels désireux de s’affranchir de toute traçabilité financière. De fait, c’est en bitcoins qu’ont été recueillis les fruits de la cyberattaque de Colonial, mais aussi ceux des grandes vagues de rançongiciels Wannacry, NotPetya, ou encore Ryuk, pour ne citer que celles-ci. En 2020, selon la firme Chainanalysis, l’équivalent de 350 millions de dollars en bitcoin aurait été amassé par des pirates informatiques grâce à des logiciels d’extorsion, soit quatre fois plus que l’année précédente.
Mieux réguler le secteur des cryptomonnaies s’imposerait donc comme une condition sine qua non à la lutte contre la prolifération des rançongiciels. C’est d’ailleurs l’une des cinq recommandations principales du récent rapport de la Ransomware Task Force, un panel de 60 expertes et experts américains en cybersécurité, réunis par l’Institute for Security and Technology. Un chantier auquel avait promis de s’attaquer la secrétaire au Trésor de l’administration Biden, Janet Yellen, promesse qu’elle a réitérée au lendemain de l’incident Colonial Pipeline. Beaucoup de spécialistes en sécurité font remarquer qu’une plus grande régulation des monnaies numériques, loin de se limiter à l’enjeu de la cyberextorsion, contribuerait aussi significativement à la lutte contre le terrorisme et le trafic de drogue.
Nuisance ou menace ?
Plus globalement, l’affaire Colonial Pipeline soulève aussi de nombreuses questions sur la nature exacte de la menace des rançongiciels, et sur le degré de « sécuritisation » que devrait susciter ou non l’enjeu. S’agit-il d’un problème de maintien de l’ordre, ou d’une menace à la sécurité nationale ? L’incident Colonial vient évidemment apporter de l’eau au moulin des partisans de la seconde perspective, qui estiment que les répercussions et les ramifications de la cyberextorsion dépassent largement le simple cadre criminel.
Du point de vue des répercussions, le cas de Colonial Pipeline démontre encore une fois que des attaques par rançongiciel peuvent perturber voire paralyser des infrastructures critiques, essentielles pour le bien-être de la population et la stabilité d’un pays. Alors qu’un braquage de banque présente par exemple peu de risques d’ébranler le secteur financier dans son ensemble, un rançongiciel très agressif et contagieux (à l’image de WannaCry) peut à l’inverse générer des impacts d’ampleur systémique. La pandémie aura qui plus est démontré que des vies humaines peuvent être mises en jeu, l’année 2020 ayant été le théâtre de multiples vagues de rançongiciels contre le secteur hospitalier, aux États-Unis, mais également au Canada. Ainsi, les dangers de la prolifération des rançongiciels s’apparenteraient davantage à ceux du terrorisme qu’à ceux de la criminalité « ordinaire ».
D’autre part, du point de vue des ramifications, la cyberextorsion ne serait pas toujours le simple fait de groupes isolés uniquement motivés par l’appât du gain. Il existe dans le cyberespace de nombreuses superpositions et imbrications entre acteurs non étatiques et étatiques, et entre groupes criminels et agences militaires ou de renseignement. Plusieurs États, notamment la Corée du Nord et la Russie, tolèrent, encouragent ou parfois emploient des pirates informatiques pour mener des attaques par rançongiciels à des fins stratégiques (approvisionnement en devises pour la Corée du Nord, déstabilisation de pays adverses pour la Russie). Il conviendrait donc de tenir compte des implications géopolitiques de la prolifération des rançongiciels, et d’agir en conséquence.
Appeler ou non la cybercavalerie
Quant à comment agir, toutefois, tous les spécialistes ne sont pas d’accord. Au plus fort de la vague de cyberextorsion contre les hôpitaux en 2020, J.D. Work, chercheur à la Marine Corps University, proposait par exemple que le US Cyber Command mette sur pied une task force pour s’attaquer aux cybercriminels impliqués. Mauvaise idée, devait rétorquer Erica Borghard, chercheure à la Carnegie Endowment for International Peace : le cahier des charges du Cyber Command serait déjà trop étendu par rapport à ses ressources, alors que les agences civiles seraient bien outillées pour traiter le problème. L’idée devait néanmoins être réitérée début 2021 par Chris Krebs, ancien chef de la Cybersecurity and Infrastructure Security Agency. Celui-ci proposait notamment que le Cyber Command fasse chanter les maîtres chanteurs, en piratant les informations personnelles des cybercriminels pour ensuite menacer de les publier.
L’enjeu reste néanmoins de déterminer quand et sous quelles conditions le Pentagone devrait être mobilisé contre les auteurs de rançongiciels. En avril dernier, Jason Healey, professeur à la Columbia University, proposait d’en décider grâce à un protocole basé sur cinq critères : l’imminence d’un incident ; la sévérité des retombées probables ; le fait que les attaquants soient basés à l’étranger ; le fait qu’ils soient liés à un État adverse (Chine, Russie, Corée du Nord, Iran) ; et le fait qu’il s’agisse d’une solution de dernier ressort.
Fait intéressant, un précédent existe déjà, et c’est sur lui que se base la réflexion de Healey : le piratage de la plateforme Trickbot par le US Cyber Command en septembre 2020, qui constitue la toute première cyberattaque militaire américaine contre une entité criminelle. L’opération, menée peu avant les élections présidentielles, visait notamment à empêcher que Trickbot ne serve à lancer des rançongiciels contre les infrastructures de vote. Elle est considérée par beaucoup comme un succès et pourrait faire école à l’avenir. L’appareil militaire américain chargé d’une nouvelle chasse globalisée contre des groupes non étatiques ? Au terme de 20 ans de guerre contre le terrorisme, les États-Unis semblent prêts à redémarrer le programme, dans sa version 2.0.
Alexis Rapin est chercheur à l’Observatoire des conflits multidimensionnels de la Chaire Raoul-Dandurand.
En savoir plus
