Photo d'illustration AFP / OLIVIER DOULIERY
L'étau semblait se resserrer vendredi autour des pirates informatiques de Darkside à l'origine de la cyberattaque contre l'opérateur d'oléoducs américain Colonial Pipeline: des experts affirment que ses serveurs ont été mis hors service et que ses messages ont même été supprimés par une importante communauté de cybercriminels russes.
Selon la firme de cybersécurité Recorded Future, le hacker ayant réclamé une rançon à Colonial Pipeline a admis que son groupe Darkside avait perdu l'accès à plusieurs des serveurs utilisés pour héberger son blog ou se faire payer.
Accessible via le navigateur TOR sur le dark web, la version clandestine d'internet, le site de Darkside était inaccessible vendredi matin.
"Il y a quelques heures, nous avons perdu l'accès à la partie publique de notre infrastructure, à savoir notre blog, notre serveur de paiement et nos serveurs DoS", a écrit dans un article un pirate utilisant le pseudonyme Darksupp, cité par Recorded Future. Les attaques par déni de service (Denial of Service ou DoS en anglais) visent à provoquer la fermeture d'un site web en le surchargeant de trafic. Darksupp a aussi indiqué que des fonds en cryptomonnaie, utilisés pour le règlement des rançons exigées par le groupe de hackers, avaient été retirés.
Un analyste de Recorded Future estime toutefois possible que les aveux de Darskide soient un subterfuge permettant au groupe de fermer lui-même ses infrastructures pour éviter d'avoir à payer ses associés. Cette tactique est connue sous le nom d'escroquerie de sortie ("exit scam" en anglais") dans le milieu de la cybercriminalité.
En début de semaine, le président américain Joe Biden avait accusé des pirates "basés en Russie" d'avoir mené la semaine dernière l'attaque contre Colonial Pipeline sans pour autant affirmer que Moscou était directement impliqué. M. Biden a affirmé jeudi être "en communication directe avec Moscou au sujet de la nécessité pour les pays responsable de prendre des mesures décisives contre ces réseaux de rançongiciels".
Selon les chercheurs de la plateforme de protection contre les risques numériques Dark Shadows, toutes les publications de Darkside sur le forum russophone de cybercriminels XXS ont été supprimées. En revanche, les annonces de recrutement du groupe criminel sur une autre plateforme de langue russe prisée des hackers, Exploit, étaient toujours en ligne, mais elles n'ont pas été mises à jour depuis avril et ne font aucune référence à l'attaque contre Colonial Pipeline.
Selon des informations de Bloomberg, Colonial Pipeline aurait payé 5 millions de dollars aux pirates, une information qui contredit celle du Washington Post, qui affirme que la compagnie n'a pas versé d'argent. Interrogé par l'AFP, un porte-parole de Colonial Pipeline n'a pas fait de commentaire, indiquant seulement qu'il y avait une enquête en cours. L'administration Biden s'est aussi abstenue de commenter tout en soulignant que les compagnies devaient renforcer leur sécurité informatique.
L'attaque contre les systèmes informatiques de Colonial Pipeline, qui transporte près de la moitié des produits pétroliers américains depuis le Golfe du Mexique vers la côte est des Etats-Unis, a forcé l'opérateur à fermer l'ensemble de ses opérations.
Cela a provoqué un mouvement de panique chez de nombreux automobilistes, craignant une pénurie d'essence et se ruant vers les stations-service. Colonial Pipeline a toutefois affirmé jeudi soir avoir relancé l'ensemble de son système et recommencé la livraison de carburants.
Les plus commentés
Pourquoi était-il inscrit "Tel Aviv" sur la carlingue d'un avion à l'AIB ?
Israël dit avoir éliminé la moitié des commandants du Hezbollah au Liban-Sud : est-ce crédible ?
Que sait-on de « Netzah Yehuda », le bataillon israélien dans le viseur de Washington ?