Rançongiciel Colonial Pipeline (DarkSide)
Un mot de passe VPN réutilisé a permis à DarkSide de chiffrer les systèmes de facturation de Colonial Pipeline. L’opérateur a arrêté 5 500 miles de pipeline pendant six jours, payé 4,4 M$, et déclenché une urgence fédérale.
- Victime
- Colonial Pipeline Company
- Perte
- $4.4M
Le 7 mai 2021, le groupe affilié de rançongiciels DarkSide a chiffré les systèmes de facturation de Colonial Pipeline, qui achemine environ 45 % du carburant de la côte Est américaine. Par précaution, Colonial a aussi arrêté le pipeline lui-même.
Ce qui s’est passé
L’accès initial était banal : un ancien compte VPN, avec un mot de passe réutilisé, sans authentification multifacteur. L’identifiant avait probablement figuré dans une précédente fuite tierce et circulait sur des marchés criminels. Les opérateurs DarkSide se sont connectés le 29 avril, ont rôdé une semaine, exfiltré environ 100 Go de données et déclenché le rançongiciel le 7 mai.
Colonial a préventivement arrêté le pipeline parce que ses systèmes de facturation étaient en panne — l’OT (technologie opérationnelle) n’était pas directement touché, mais l’entreprise ne pouvait plus mesurer ni facturer les livraisons de carburant, donc n’avait plus de moyen commercial de continuer.
Conséquences
- Six jours d’arrêt du pipeline de 5 500 miles ; pénurie généralisée de carburant et achats de panique dans le sud-est des États-Unis.
- Déclaration d’urgence régionale du DOT américain couvrant 17 États et le District de Columbia.
- Colonial a payé une rançon de 75 BTC (≈ 4,4 M$). Le déchiffreur fonctionnait mais était trop lent ; la restauration s’est faite à partir des sauvegardes.
- Le DOJ a ensuite saisi 63,7 BTC (≈ 2,3 M$) du paiement depuis une adresse contrôlée par DarkSide — l’une des premières récupérations de rançon très médiatisées.
- Les opérateurs DarkSide ont dissous la marque en quelques semaines sous la pression des forces de l’ordre américaines ; les affiliés et outils ont réémergé sous BlackMatter puis nourri l’écosystème ALPHV/BlackCat.
Pourquoi c’est important
Colonial est le cas de référence pour les cyberattaques sur les infrastructures énergétiques provoquant une perturbation physique réelle. L’incident a catalysé les directives obligatoires de cybersécurité pipeline de la CISA, les directives de sécurité pipeline de la TSA, l’ordre exécutif 14028, et une génération d’attention au niveau des conseils d’administration sur la segmentation OT/IT, l’hygiène des mots de passe des tiers et la résilience d’infrastructures logistiques à point unique de défaillance.
Impact financier
Coûts déclarés en USD
- Rançon payée$4.4M
Chronologie
Les opérateurs DarkSide s’authentifient sur un ancien compte VPN Colonial avec un mot de passe réutilisé. Le compte n’avait pas de MFA.
Environ 100 Go de données d’entreprise sont exfiltrés du réseau de Colonial.
Le rançongiciel est déployé sur les systèmes de facturation et d’assistance opérationnelle. Colonial arrête le pipeline par précaution.
Colonial paie une rançon de 75 BTC (≈ 4,4 M$) pour un déchiffreur qui s’avère trop lent à utiliser.
Le département américain des Transports émet une déclaration d’urgence régionale couvrant 17 États.
Les opérations du pipeline reprennent après six jours d’arrêt.
Le DOJ annonce la saisie de 63,7 BTC (≈ 2,3 M$) du paiement de la rançon.
Sources
- cisa.govhttps://www.cisa.gov/news-events/cybersecurity-advisories/aa21-131a
- justice.govhttps://www.justice.gov/opa/pr/department-justice-seizes-23-million-cryptocurrency-paid-ransomware-extortionists-darkside
- bloomberg.comhttps://www.bloomberg.com/news/articles/2021-06-04/hackers-breached-colonial-pipeline-using-compromised-password