Les systèmes informatiques sont partout dans la ville. Les hackers potaches savent s'en amuser : quelques lignes de codes suffisent à couvrir les panneaux électroniques de grossièretés et à convaincre les horodateurs d'insulter Jean-François Copé. Lorsque les vilains pirates s'y mettent, c'est malheureusement beaucoup moins drôle. San Francisco en a fait la douloureuse expérience dans l'après-midi du vendredi 25 novembre, quand la société qui gère ses transports en commun a été victime d'une attaque de grande ampleur.Sur les quelque 8500 appareils connectés qui permettent à la San Francisco Municipal Transportation Agency (SFMTA, ou Muni) de faire son travail, plus de 2 000 ont été rendus inaccessibles par un ransomware, un logiciel malveillant qui verrouille l'accès aux données jusqu'à ce que le maître-chanteur obtienne satisfaction. Le site d'information The Register rapporte que des terminaux de travail, des serveurs et des bases de données ont été infectés. Les ordinateurs touchés, y compris ceux des bornes de paiement et des systèmes d'information aux voyageurs, restaient bloqués au démarrage sur un message rédigé dans un anglais bancal : "You Hacked, ALL Data Encrypted. Contact For Key(cryptom27@yandex.com)ID:681 ,Enter".En envoyant un message à l'adresse fournie par le ransomware, les journalistes du San Francisco Examiner sont parvenus à entrer en contact avec un certain Andy Saolis. Celui-ci a affirmé être à l'origine de l'attaque et déclaré : "Nous faisons ça pour l'argent, c'est tout !" Son prix : 100 bitcoins, soit 69 000 euros. Plutôt que de payer, la SFMTA a immédiatement prévenu le Département de la sécurité intérieure (DHS) et la police fédérale (FBI) dans le but d'identifier le virus, de reprendre le contrôle de son système et de commencer à traquer le responsable au plus vite. Afin de ne pas perturber les voyageurs, elle a également déclaré les transports en commun gratuits entre le vendredi 25 et le dimanche 27 novembre, 9 heures.La SFMTA est vite parvenue à juguler le ransomware et les métros de San Francisco se sont remis à fonctionner normalement dès la fin du week-end. "Nous n'avons jamais eu l'intention de payer la rançon, explique la société dans un communiqué publié lundi 28 novembre. Nous avons une équipe informatique qui peut réparer nos systèmes, et c'est ce qu'elle est en train de faire." Andy Saolis a riposté en menaçant de révéler 30 gigaoctets de documents qui auraient été dérobés pendant l'attaque s'il n'obtenait pas la rançon. La SFMTA a balayé cette nouvelle tentative d'extorsion en affirmant qu'aucun intrus n'avait pu accéder à ses données. "Le réseau n'a pas été compromis de l'extérieur et les responsables n'ont pas réussi à traverser nos pare-feu, assure la société. La sécurité et les activités de Muni n'ont pas été affectées."Il semble que le logiciel utilisé par Andy Saolis se soit glissé dans le réseau de la SFMTA après qu'un employé a téléchargé un fichier torrent vérolé. Il serait une variante de HDDCryptor, un programme malveillant identifié le 14 septembre dernier par Security Intelligence. Le blog explique que "la méthode de fonctionnement particulièrement destructrice de ce ransomware en fait une menace très sérieuse et crédible, pour les particuliers comme les entreprises." Le fait que la société des transports en communs de San Francisco s'en soit tirée sans trop dé dégâts ne doit pas faire oublier que les ransomware fonctionnent bien souvent. En février dernier, un hôpital de Los Angeles a déboursé 16 000 euros pour reprendre le contrôle de ses ordinateurs. Le succès de ces attaques a sans doute à voir avec leur multiplication : le Kaspersky estime qu'elles étaient cinq fois plus nombreuses en mars 2016 qu'en avril 2014.De telles attaques seraient-elles possibles en France ? Sans doute : le STIF, l'autorité organisatrice des transports en Île-de-France, n'a pas donné suite aux sollicitations de Motherboard concernant la sécurité de son système informatique. Une fois de plus, on ne saura que quand il sera trop tard.
Publicité