Etats-Unis : Qui sont les hackers de Darkside, le groupe soupçonné du piratage d’un opérateur d’oléoducs ?

CYBERDEFENSE Joe Biden a accusé ce groupe qui serait basé en Russie d'avoir paralysé l'un des plus grands opérateurs d'oléoducs américains via un ransomware

P.B. avec AFP

— 

Un ransomware est un logiciel utilisé par des hackers pour paralyser un ordinateur et demander une rançon à la victime (illustration).
Un ransomware est un logiciel utilisé par des hackers pour paralyser un ordinateur et demander une rançon à la victime (illustration). — Sipa

Non, on n'est pas dans Star Wars ou Justice League. Un mystérieux groupe de hackers, baptisé Darkside, serait, selon le FBI, responsable d'une cyberattaque qui a paralysé l'un des plus grands opérateurs d'oléoducs américains via un ransomware. Lundi, Joe Biden a assuré que certains membres semblaient être basés en Russie, même s'il n'y a, à ce stade, pas de preuve d'implication de Moscou.

Des oléoducs mis hors-service par l'opérateur

Colonial Pipeline est l'un premier distributeur de carburant aux Etats-Unis. Il transporte essence et diesel des raffineries du Texas vers la région de New York et dispose de plus de 8.800 kilomètres d'oléoducs. Vendredi, ses systèmes informatiques ont été visé par une cyberattaque via un ransomware (rançongiciel), qui exploite des failles de sécurité pour encrypter les systèmes informatiques et exige une rançon pour les débloquer.

Pour protéger ses infrastructures, l'entreprise a interrompu toutes ses opérations, vendredi, faisant peser un risque sur l'approvisionnement en pétrole dans le nord-est du pays. La situation reste «fluctuante», a écrit l'entreprise, qui rouvre son réseau «par phase» avec pour objectif de rétablir l'essentiel de ses activités d'ici la fin de la semaine et d'éviter une pénurie.

Un groupe de hackers qui dit être «apolitique»

Le groupe Darkside est apparu l'an dernier et s'est spécialisé dans les attaques au rançongiciel contre les moyennes et les grandes entreprises, à qui il réclame des centaines de milliers, voir des millions de dollars, pour débloquer leurs systèmes. Il dérobe au passage des données confidentielles à ses victimes, surtout basées dans des pays occidentaux, et menace de les rendre publiques si la rançon n'est pas versée.

Les membres de Darkside assurent ne pas avoir de motivation politique, ni de lien avec un gouvernement. «Nous sommes apolitiques» et «nous n'avons pas besoin d'être lié à un gouvernement défini», «notre but est de gagner de l'argent pas de créer des problèmes pour la société», selon un communiqué mis en ligne sur le darknet. Darkside vend également ses logiciels, ce que les experts appellent «RaaS», «ransomware as a service».

Liens possibles avec la Russie

«A ce stade, nos services de renseignement n'ont pas de preuve d'une implication russe», a ensuite déclaré le président Joe Biden qui est régulièrement tenu informé de l'évolution de la situation.

Mais «il y a des éléments qui montrent que des acteurs et que le rançongiciel sont en Russie», a-t-il ajouté. «Ils ont une certaine responsabilité.»

De nombreux experts soupçonnent Darkside d'être de mèche avec la Russie. «Nous pensons qu'il opère (et peut-être est protégé) par la Russie», a tweeté ce week-end Dmitri Alperovitch, un expert en sécurité informatique, fondateur de l'entreprise Crowdstrike. Leurs logiciels ne fonctionnent pas sur les ordinateurs qui ont par défaut le Russe ou d'autres langues d'Europe de l'Est sur leurs systèmes, a également souligné le spécialiste en cybersécurité Brett Callow d'Emisoft sur la chaîne NBC.

Même si ces attaques visent surtout le privé, elles posent un problème pour la sécurité nationale, a ajouté Elizabeth Sherwood-Randall, conseillère ajointe du président à la Sécurité.«Ces événements mettent en lumière le fait que nos infrastructures vitales sont pour l'essentiel opérées par des prestataires du secteur privé», a-t-elle souligné. «Quand ces compagnies sont attaquées, elles sont notre première ligne de défense. Nous dépendons de leur efficacité.»