Si la doctrine américaine est de ne pas négocier avec des terroristes, c’est visiblement différent avec des cybercriminels. Le patron de l’opérateur américain d’oléoducs Colonial Pipeline a indiqué mercredi, dans une interview au Wall Street Journal, avoir autorisé le versement d’une rançon de 4,4 millions de dollars aux pirates informatiques qui ont mené une cyberattaque contre le réseau début mai. « Je sais que c’était une décision très controversée (…) J’admets que je n’étais pas à l’aise avec le fait de voir de l’argent s’évaporer et aller vers de telles personnes », a déclaré Joseph Blount. « Mais c’était la bonne chose à faire pour le pays », a-t-il confié au quotidien.

Le paiement d’une rançon avait été évoqué par plusieurs médias américains ces derniers jours, mais Colonial Pipeline n’avait jusqu’à présent pas confirmé ces informations. Joseph Blount n’a toutefois pas donné de détails sur le déroulement des négociations et sur le mode de règlement. Plusieurs sources ont affirmé que la rançon avait été payée en bitcoins. Le dirigeant de Colonial Pipeline, à la tête de l’entreprise depuis 2017, a défendu sa décision, estimant qu’il s’agissait pour son groupe du moyen le plus efficace pour faire redémarrer ses opérations.

Retour à la normale

L’entreprise, qui transporte près de la moitié des produits pétroliers américains depuis le Golfe du Mexique vers la côte est des Etats-Unis, a été victime le 7 mai d’un rançongiciel, un programme qui exploite des failles de sécurité pour encrypter les systèmes informatiques et exiger une rançon pour les débloquer.

Selon la police américaine, le groupe de cybercriminels DarkSide, qui sera basé en Russie ou dans des pays de l’ex-URSS, est à l’origine de cette attaque. Celle-ci a contraint l’opérateur, dont le réseau comprend plus de 8.800 kilomètres de pipelines transportant du carburant, à suspendre l’ensemble de ses opérations, ce qui n’était jamais arrivé auparavant. Samedi dernier, Colonial Pipeline a annoncé un retour à la normale de ses opérations.

Darkside HS ?

Selon la firme de cybersécurité Recorded Future, le hacker ayant réclamé une rançon à Colonial Pipeline a admis que son groupe DarkSide avait perdu l’accès à plusieurs des serveurs utilisés pour héberger son blog ou se faire payer. Accessible via le navigateur TOR sur le dark Web, la version clandestine d’Internet, le site de DarkSide était inaccessible vendredi matin.

« Il y a quelques heures, nous avons perdu l’accès à la partie publique de notre infrastructure, à savoir notre blog, notre serveur de paiement et nos serveurs DoS », a écrit dans un article un pirate utilisant le pseudonyme Darksupp, cité par Recorded Future. Darksupp a aussi indiqué que des fonds en cryptomonnaie, utilisés pour le règlement des rançons exigées par le groupe de hackers, avaient été retirés.

Joe Biden avait promis une réponse américaine, en restant vague. Un analyste de Recorded Future estime toutefois possible que les aveux de DarkSide soient un subterfuge permettant au groupe de fermer lui-même ses infrastructures pour éviter d’avoir à payer ses associés. Kimberly Goody, responsable de l’analyse des crimes financiers chez Mandiant, une filiale du géant américain de la cybersécurité FireEye, a déclaré dans un communiqué transmis à l’AFP que son entreprise « n’avait pas pu valider de manière indépendante les affirmations » sur le démantèlement de DarkSide.