Les attaques de rançonnage contre des entreprises (« Rançonnage des entreprises : vous êtes le premier concerné ») ou contre des universités (« Rançonnage des universités : retour au papier et au stylo ? ») ne sont pas un phénomène nouveau et représentent une activité lucrative pour les personnes qui ne se soucient guère de la loi et de l'éthique et qui ne redoutent pas d'être attrapées. Dernièrement, un système d'oléoduc majeur des États-Unis a été touché par une cyberattaque de rançonnage.

Dans cette attaque particulière, les systèmes de bureautique de la compagnie Colonial Pipeline ont été infiltrés et les pirates ont tenté d'extorquer au moins 100 Go de données. L'« extorsion » est l'attaque de rançonnage d’un niveau supérieur : au lieu de crypter « simplement » les données et de demander de l'argent en échange de la clé de décryptage, les pirates menacent de publier ces données (a priori confidentielles ou à caractère personnel) à moins que la victime ne paie une rançon.

Ce qu'a subi la compagnie Colonial Pipeline n'est ni unique, ni nouveau, ni surprenant. Comme toute entreprise, université ou organisation, Colonial Pipeline avait déjà été auparavant la cible d'attaques. Mais les pirates ont cette fois-ci réussi à infiltrer le réseau de la compagnie, à force de persévérance, de volonté et de motivation. Et avec l'espoir d'obtenir beaucoup d'argent. Colonial Pipeline est à présent dans une situation délicate dans la mesure où elle doit décider de payer ou non la rançon. Quelle que soit sa décision, l'économie de la côte Est des États-Unis a déjà été sérieusement touchée.

Même si l'énergie transportée par l'oléoduc de Colonial Pipeline est bien inférieure à celle transportée via le tube de faisceau du LHC*, on ne peut ignorer certaines similitudes entre le CERN et Colonial Pipeline : le CERN gère également un vaste réseau administratif interconnecté aux systèmes opérationnels (Colonial Pipeline a immédiatement mis leurs systèmes hors service dès que l’attaque a été découverte). Et même si les pirates, dans ce cas particulier, ont mentionné sur leur page web le message suivant : « Fidèles à nos principes, nous n'attaquerons pas les […] établissements d'enseignement [ni] les organisations à but non lucratif », d'autres gangs pourraient très bien vouloir viser le CERN.

C'est pourquoi le CERN a pris les mesures suivantes :

• mettre en production un nouveau pare-feu, plus puissant, doté d'une protection perfectionnée contre les menaces ;
• acheter un nouveau logiciel antivirus et une solution EDR (Endpoint Detection and Response) pour tous les dispositifs appartenant au CERN, mais aussi les ordinateurs portables personnels et, à terme, les ordinateurs de bureau personnels ;
• mettre en place progressivement une authentification à deux facteurs pour les connexions à distance aux services du CERN ;
• examiner la manière de protéger encore mieux le réseau technique du CERN et les systèmes de contrôle qu'il héberge ;
• accroître ses capacités de surveillance et de détection ;
• collaborer encore plus étroitement avec nos partenaires de la Grille de calcul mondiale pour le LHC (WLCG) et avec les communautés eduGAIN, EGI-ACE et EOSChub ;
• lancer une nouvelle campagne de sensibilisation à l’hameçonnage à l’intention des membres du personnel et des utilisateurs ; et
• examiner les aspects de sécurité informatique de nouveaux projets, toujours plus nombreux, et fournir des éléments d'information en la matière.

Cela étant, nous comptons sur vous pour nous aider à protéger les biens, les ressources, les services et les systèmes du CERN en :

• veillant à ce que vos appareils soient toujours à jour ;
• utilisant un mot de passe efficace pour protéger vos ressources informatiques - celles du CERN comme les vôtres ;
• faisant preuve de prudence lorsque vous naviguez sur le web ou que vous ouvrez des courriels ;
• redoublant de vigilance lorsque vous télétravaillez ;
• faisant appel aux services informatiques centraux du CERN lorsque vous avez besoin d'une base de données, d'une machine virtuelle, d'un serveur web ou d'autres ressources analogues ;
• programmant et développant du code en toute sécurité et en évitant de télécharger automatiquement des dépendances extérieures sur l'internet ; et
• nous contactant à l’adresse Computer.Security@cern.ch si vous avez des questions ou si vous avez besoin d'aide.

______

* Colonial Pipeline transporte près de 2,5 millions de barils par jour, soit moins d'un demi-litre par tour dans le LHC. Si l’on tient compte uniquement de la densité d'énergie réelle du pétrole brut, de 41,898 MJ/kg, cela correspond à 16 MJ par tour par rapport aux 300 MJ stockés dans un faisceau du LHC.

Pour en savoir plus sur les incidents et les problèmes en matière de sécurité informatique au CERN, lisez notre rapport mensuel (en anglais). Si vous souhaitez avoir plus d’informations, poser des questions ou obtenir de l’aide, visitez notre site ou contactez-nous à l’adresse Computer.Security@cern.ch.