Quand a eu lieu l’attaque de la ville d’Atlanta ?
Le 22 mars 2018, la ville d’Atlanta a constaté que ses systèmes d’exploitation et ses services de sécurité avaient été victimes d’une attaque de ransomware. Certains dossiers avaient également été perdus lors de cette violation de données, et de nombreux fonctionnaires ont été dans l’obligation de produire des copies papier de certains documents.
Que s’est-il passé ?
Avant l’attaque, l’infrastructure informatique de la ville d’Atlanta était affaiblie, et donc de plus en plus vulnérable à une cyberattaque potentielle. Un rapport d’audit, daté de janvier 2018, avait mis en lumière les informations suivantes :
- Le système de gestion de la sécurité de l’information de la ville comportait des « politiques, procédures et documents de référence manquants ou dépassés ».
- Le système présentait entre 1 500 et 2 000 vulnérabilités sérieuses.
- Près de 100 serveurs utilisaient des logiciels obsolètes.
- Le système « manquait de processus formels permettant d’identifier, d’évaluer et d’atténuer les risques ».
L’absence de protocoles robustes de sécurité et la négligence des employés à l’égard de la cybersécurité ont permis de créer l’environnement idéal pour une cyberattaque. Le 22 mars, le service de gestion de l’information d’Atlanta a été informé de perturbations dans plusieurs applications internes ou destinées aux utilisateurs, « y compris certaines applications utilisées pour payer des factures ou accéder à des informations relatives aux tribunaux ».
Le ransomware, en infectant les systèmes Wi-Fi publics (y compris ceux des aéroports) ainsi que les systèmes et réseaux municipaux, a empêché les citoyens d’accéder à des données confidentielles ou sensibles, d’utiliser des applications qui leur étaient destinées, d’effectuer des transactions financières et de payer des factures en ligne. Environ un tiers des applications locales ont également été chiffrées, ce qui a rendu les systèmes, les fichiers et les documents inaccessibles. Pour faire face à ce bouleversement soudain, les entreprises ont dû revenir aux notes et aux enregistrements manuscrits.
Ce problème a été identifié comme une attaque de ransomware, en particulier le ransomware SamSam. Il a été exigé des fonctionnaires tentant d’accéder aux systèmes et réseaux affectés de payer jusqu’à 50 000 dollars en bitcoins pour obtenir la clé privée qui supprimerait le virus et leur permettrait d’accéder aux applications.
En quoi consiste SamSam ?
Le ransomware SamSam est un type de malware qui surveille les activités d’un réseau afin d’obtenir des informations supplémentaires sur les opérations en cours et d’évaluer les vulnérabilités potentielles. Contrairement à d’autres ransomwares connus, tels que WannaCry ou Petya, il n’attaque pas dès qu’il a pénétré les réseaux ciblés. SamSam permet aux cybercriminels de s’insérer en profondeur dans le réseau afin de causer un maximum de dégâts et d’obtenir le paiement d’une rançon importante. Il supprime également toutes les sauvegardes existantes qui pourraient être utilisées pour contrer l’attaque.
Les pirates informatiques peuvent accéder manuellement à des serveurs de réseau et à des données de système obsolètes de l’une des manières suivantes :
Une fois qu’il s’est introduit dans le réseau, un pirate informatique peut obtenir des autorisations et des privilèges administratifs. Ceux-ci lui permettent d’exécuter d’autres malwares sans être détecté et de désactiver les outils de sécurité, tels que l’authentification à deux facteurs, afin d’échapper à la détection.
Le ransomware SamSam est unique, car il chiffre les données, les fichiers et les serveurs, mais aussi tous les éléments essentiels et les applications qui pourraient permettre de redémarrer n’importe quel matériel. Cela ralentit énormément la récupération des données. La création de fichiers et leur chiffrement à l’aide de clés AES (Advanced Encryption Standard) et de clés RSA publiques et uniques interdisent l’accès aux fichiers et garantissent que le paiement d’une rançon devra avoir lieu pour que les fichiers soient déchiffrés.
Une fois que le cybercriminel a terminé l’opération, il exige le paiement d’une rançon par l’intermédiaire d’un site web Tor open source. Une fois le paiement effectué, une clé cryptographique permettant de déchiffrer le réseau est fournie.
Comment la ville a-t-elle réagi à cette attaque ?
On ne sait pas si la ville d’Atlanta a payé la rançon, mais l’impact financier total de cette attaque de ransomware est sans précédent. Suite à la demande de paiement de 50 000 dollars en bitcoins, des pirates informatiques ont supprimé la page permettant d’effectuer un paiement, ce qui a conduit la ville à mettre en œuvre des mesures d’urgence.
Quelles ont été les conséquences de cette attaque ?
La ville d’Atlanta a dépensé plus de 2,6 millions de dollars afin de répondre en urgence à l’attaque du ransomware SamSam et de restaurer ses systèmes et services informatiques. La cyberattaque a touché cinq des treize administrations locales de la ville pendant cinq jours. Ils ont dû faire appel à Edelman afin de répondre à l'incident, ce qui leur a coûté 50 000 dollars. Ils ont aussi dû payer les frais de personnel d’Atlanta Information Management (AIM), l’expertise de la société privée Secureworks, et les experts du secteur public Cisco et Microsoft Cloud pour remettre les systèmes en service.
Parmi les systèmes touchés par cette attaque de ransomware entre le 22 mars et le 2 avril, nous pouvons citer le tribunal municipal d’Atlanta, les services de paiement des services publics et les services de stationnement, qui ont tous dû revenir à un traitement manuel. Il s’agissait notamment de systèmes de paiement en ligne et en personne pour les services de base, tels que les factures d’eau.
Parmi les infrastructures de transport importantes qui n’ont pas été touchées, citons l’aéroport international Hartsfield-Jackson d’Atlanta, qui a désactivé son réseau Wi-Fi public sur les conseils du FBI, des services secrets et du Département de la Sécurité intérieure. Contrairement à l’attaque des hôpitaux britanniques par un ransomware, qui a touché de plein fouet des services critiques, tels que les pompiers, la police et les services de santé, les services de santé d’Atlanta n’ont pas été directement touchés.
Cinq jours après l’attaque, la ville d’Atlanta a mis en place un centre d’information afin de donner des nouvelles et d'informer les employés et les habitants de la ville du rallumage de ses ordinateurs. Cependant, un grand nombre de services restaient indisponibles. Bien que certains services aient été immédiatement opérationnels pour les employés, tels que la messagerie électronique, Oracle et Accela, les services qui n’étaient pas immédiatement disponibles comprenaient le réseau Wi-Fi public de l’aéroport d’ATL, le paiement en ligne des factures d’eau (pas opérationnel avant le mois de mai) et l’option de paiement en ligne des tribunaux (pas opérationnel avant le mois de juin). Toutefois, certains services ou données ont été définitivement effacés, notamment plusieurs documents juridiques et des fichiers vidéo de la police.
Suite à cette violation de données, la maire d’Atlanta, Keisha Lance Bottoms, et plusieurs cadres supérieurs ont déclaré qu’aucune donnée concernant les citoyens n’avait été compromise et que la cybersécurité resterait l'une des priorités des politiques administratives. La ville a nommé son nouveau directeur de l’information, Gary Brantley, en septembre 2018, aux côtés d’un nouveau directeur des opérations et directeur de la préparation aux situations d’urgence en juin de l’année suivante.
En décembre 2018, le ministère américain de la Justice a annoncé qu’un grand jury fédéral d’Atlanta avait inculpé deux ressortissants iraniens pour l’attaque sophistiquée par ransomware qui avait infecté environ 3 789 ordinateurs appartenant à la ville d’Atlanta, y compris des serveurs et des postes de travail. Le Gouvernement a reconnu que l’attaque avait « considérablement perturbé les opérations de la ville d’Atlanta, porté atteinte à certaines fonctions administratives et entraîné des dépenses substantielles dans les semaines et les mois à venir. À ce jour, l’attaque a causé des millions de dollars de pertes. »
Quels enseignements peut-on tirer de cette attaque ?
L’attaque de ransomware subie par la ville d’Atlanta n’est pas un cas isolé. Les attaques de ransomware continuent d’évoluer et de gagner en envergure et en sophistication. Il est donc essentiel que les entreprises publiques et privées mettent en œuvre des processus robustes de cybersécurité.
En raison de l’affaiblissement ou de l’obsolescence des logiciels de sécurité et des pratiques informatiques, les pirates informatiques peuvent exploiter les vulnérabilités potentielles des réseaux d’entreprise et neutraliser les données et les services jusqu’au paiement d’une rançon. Un autre exemple d’attaque très médiatisée est l’attaque de ransomware subie par la ville de Baltimore en 2019, durant lequel des cybercriminels ont profité de protocoles de cybersécurité inadéquats et obsolètes pour infecter les systèmes et les serveurs de l’administration locale au moyen d’un ransomware.
Si certaines entreprises choisissent de payer la rançon, il n’y a aucune garantie que les pirates fourniront les outils de déchiffrement du ransomware permettant de restaurer les systèmes et services chiffrés. Les ransomwares restent une menace pour les entreprises. Il est donc essentiel de prévenir et de protéger votre réseau en mettant en place un plan de récupération après incident efficace et en investissant dans des outils de sécurité robustes.
© 2024 Gen Digital Inc.