L’administration Biden a divulgué mardi des détails précédemment classifiés sur l’ampleur des cyberattaques parrainées par l’État contre les oléoducs et les gazoducs américains au cours de la dernière décennie, dans le cadre d’un avertissement aux propriétaires de pipelines d’augmenter la sécurité de leurs systèmes pour éviter de futures attaques.
De 2011 à 2013, des pirates informatiques soutenus par la Chine ont ciblé et, dans de nombreux cas, violé près de deux douzaines d’entreprises propriétaires de tels pipelines, le FBI et le Department of Homeland Security. révélé dans une alerte mardi. Pour la première fois, les agences ont déclaré qu’elles jugeaient que les « intrusions étaient probablement destinées à obtenir un accès stratégique » aux réseaux de contrôle industriel qui exploitent les pipelines « pour des opérations futures plutôt que pour un vol de propriété intellectuelle ». En d’autres termes, les pirates se préparaient à prendre le contrôle des pipelines, plutôt que de simplement voler la technologie qui leur permettait de fonctionner.
Sur 23 exploitants de gazoducs qui ont été soumis à une forme de fraude par e-mail connue sous le nom de spear phishing, les agences ont déclaré que 13 avaient été compromis avec succès, tandis que trois étaient « presque ratés ». L’étendue des intrusions dans sept opérateurs était inconnue en raison de l’absence de données.
Les divulgations interviennent alors que le gouvernement fédéral tente de galvaniser l’industrie des pipelines après qu’un groupe de rançongiciels basé en Russie a facilement forcé la fermeture d’un réseau de pipelines qui fournit près de la moitié de l’essence, du carburéacteur et du diesel qui remontent la côte est. Cette attaque contre Colonial Pipeline – visant les systèmes commerciaux de l’entreprise, et non les opérations du pipeline lui-même – a conduit l’entreprise à arrêter ses expéditions de peur de ne pas savoir de quoi les attaquants seraient capables ensuite. De longues conduites d’essence et des pénuries ont suivi, soulignant pour le président Biden l’urgence de défendre les pipelines et les infrastructures critiques des États-Unis contre les cyberattaques.
Le rapport déclassifié sur les activités de la Chine accompagnait une directive de sécurité qui oblige les propriétaires et exploitants de pipelines jugés critiques par la Transportation Security Administration à prendre des mesures spécifiques pour se protéger contre les ransomwares et autres attaques, et à mettre en place un plan d’urgence et de récupération. Les étapes exactes n’ont pas été rendues publiques, mais les responsables ont déclaré qu’ils cherchaient à remédier à certaines des énormes lacunes constatées lors de l’examen de l’attaque du pipeline colonial. (La société, qui est une société privée, a peu parlé des vulnérabilités de ses systèmes exploitées par les pirates.)
La directive fait suite à une autre en mai qui obligeait les entreprises à signaler les cyberattaques importantes au gouvernement. Mais cela n’a rien fait pour sceller les systèmes.
Le rapport récemment déclassifié rappelait que les pirates informatiques soutenus par la nation ciblaient les oléoducs et les gazoducs avant que les cybercriminels ne conçoivent de nouvelles façons de tenir leurs opérateurs en otage contre rançon. Le ransomware est une forme de malware qui crypte les données jusqu’à ce que la victime paie. L’attaque contre Colonial Pipeline l’a amené à payer environ 4 millions de dollars en crypto-monnaie, dont certains ont été récupérés par le FBI après que les criminels aient laissé une partie de l’argent visible dans les portefeuilles de crypto-monnaie. Mais c’était, comme l’a dit un responsable de l’application des lois, une « pause chance ». Quelques semaines plus tard, une autre attaque de ransomware a permis d’extraire 11 millions de dollars de JBS, un producteur de produits à base de bœuf ; rien de tout cela n’a été récupéré.
Il y a près de 10 ans, le Department of Homeland Security a déclaré dans le rapport déclassifié qu’il avait commencé à réagir aux intrusions sur les oléoducs et les opérateurs d’électricité à « un rythme alarmant ». Les autorités ont réussi à retracer une partie de ces attaques en Chine, mais en 2012, sa motivation n’était pas claire : les pirates étaient-ils à la recherche de secrets industriels ? Ou se positionnaient-ils pour une future attaque ?
« Nous essayons toujours de comprendre », a déclaré un haut responsable du renseignement américain au New York Times en 2013. « Ils auraient pu faire les deux. »
Mais l’alerte de mardi affirmait que l’objectif était de « mettre en danger l’infrastructure des pipelines américains ».
« Cette activité était en fin de compte destinée à aider la Chine à développer des capacités de cyberattaque contre les pipelines américains pour endommager physiquement les pipelines ou perturber les opérations de pipeline », indique l’alerte.
L’alerte a été déclenchée par de nouvelles inquiétudes concernant la cyberdéfense des infrastructures critiques, mises en évidence avec l’attaque de Colonial Pipeline. Cette brèche a déclenché des alarmes à la Maison Blanche et au ministère de l’Énergie, qui ont constaté que la nation n’aurait pu se permettre que trois jours d’arrêt de plus avant que les transports en commun et les raffineries chimiques ne s’arrêtent.
Mandiant, une division de la société de sécurité FireEye, a déclaré que l’avis était cohérent avec les intrusions soutenues par la Chine qu’il a suivies sur plusieurs sociétés de gazoducs et d’autres opérateurs critiques de 2011 à 2013. Mais la société a ajouté un détail troublant, notant qu’il » fortement » croyait que dans un cas, des pirates chinois avaient eu accès aux commandes, ce qui aurait pu permettre l’arrêt d’un pipeline ou potentiellement déclencher une explosion.
Bien que la directive n’ait pas nommé les victimes de l’intrusion du pipeline, l’une des sociétés infiltrées par des pirates chinois au cours de la même période était Telvent, qui surveille plus de la moitié des oléoducs et des gazoducs en Amérique du Nord. Il a découvert des pirates dans ses systèmes informatiques en septembre 2012, seulement après qu’ils y aient rôdé pendant des mois. La société a fermé son accès à distance aux systèmes des clients, craignant qu’il ne soit utilisé pour fermer l’infrastructure d’American.
Le gouvernement chinois a nié être à l’origine de la violation de Telvent. Congrès n’a pas adopté de loi sur la cybersécurité cela aurait accru la sécurité des pipelines et d’autres infrastructures essentielles. Et le pays semblait avancer.
Près d’une décennie plus tard, l’administration Biden affirme que la menace d’un piratage des oléoducs et gazoducs américains n’a jamais été aussi grave. « La vie et les moyens de subsistance du peuple américain dépendent de notre capacité collective à protéger les infrastructures critiques de notre pays contre l’évolution des menaces », a déclaré mardi Alejandro N. Mayorkas, le secrétaire à la Sécurité intérieure.
La directive de mai a fixé une période de 30 jours pour « identifier les lacunes et les mesures correctives associées pour faire face aux risques liés à la cybersécurité » et les signaler à la TSA et à la Cybersecurity and Infrastructure Security Agency du Department of Homeland Security.
Peu de temps après son entrée en fonction, M. Biden a promis que l’amélioration de la cybersécurité serait une priorité absolue. Ce mois-ci, il a rencontré les meilleurs conseillers pour discuter des options pour répondre à une vague d’attaques de ransomwares russes contre des entreprises américaines, dont une le 4 juillet contre une entreprise de Floride qui fournit des logiciels aux entreprises qui gèrent la technologie pour les petites entreprises.
Et lundi, la Maison Blanche a déclaré que le ministère chinois de la Sécurité d’État, qui supervise le renseignement, était à l’origine d’une attaque inhabituellement agressive et sophistiquée en mars contre des dizaines de milliers de victimes qui dépendaient des serveurs de messagerie Microsoft Exchange.
Par ailleurs, le ministère de la Justice a dévoilé lundi les actes d’accusation de quatre citoyens chinois pour avoir coordonné le piratage de secrets commerciaux d’entreprises de l’aviation, de la défense, de la biopharmaceutique et d’autres industries.
Selon les actes d’accusation, les pirates chinois opèrent à partir de sociétés écrans, dont certaines sur l’île de Hainan, et font appel aux universités chinoises non seulement pour recruter des pirates dans les rangs du gouvernement, mais aussi pour gérer des opérations commerciales clés, comme la paie. Cette structure décentralisée, selon des responsables américains et des experts en sécurité, est destinée à offrir un déni plausible au ministère chinois de la Sécurité d’État.
Les actes d’accusation ont également révélé que les pirates « affiliés au gouvernement » de la Chine s’étaient lancés dans leurs propres entreprises à but lucratif, menant des attaques de ransomware qui extorquent des millions de dollars aux entreprises.
Eileen Sullivan rapports contribués.