Les gouvernements mettent le gang du rançongiciel REvil hors ligne

Des responsables américains évoquent l'attaque du ransomware Colonial Pipeline lors d'une conférence de presse à Washington, D.C. le 7 juin 2021. (Reuters/Archive Photo)
Des responsables américains évoquent l'attaque du ransomware Colonial Pipeline lors d'une conférence de presse à Washington, D.C. le 7 juin 2021. (Reuters/Archive Photo)
Des responsables américains évoquent l'attaque du ransomware Colonial Pipeline lors d'une conférence de presse à Washington, D.C. le 7 juin 2021. (Reuters /Archive Photo)
Des responsables américains évoquent l'attaque du ransomware Colonial Pipeline lors d'une conférence de presse à Washington, D.C. le 7 juin 2021. (Reuters /Archive Photo)
Short Url
Publié le Vendredi 22 octobre 2021

Les gouvernements mettent le gang du rançongiciel REvil hors ligne

  • Les cyberspécialistes des forces de l'ordre et du renseignement ont pu pirater l'infrastructure du réseau informatique de REvil, obtenant ainsi le contrôle d’un certain nombre de leurs serveurs
  • Une personne proche du dossier déclare qu'un partenaire étranger du gouvernement américain a effectué l'opération de piratage de l'architecture informatique de REvil

Le groupe de ransomware REvil a lui-même été piraté et mis hors ligne cette semaine par une opération menée dans plusieurs pays, selon trois cyberexperts du secteur privé travaillant avec les États-Unis et un ancien responsable.

D'anciens partenaires et associés du gang criminel dirigé par la Russie étaient responsables d'une cyberattaque sur le pipeline Colonial en mai qui a entraîné une pénurie généralisée de gaz sur la côte est des États-Unis. Parmi les victimes directes de REvil, on compte le grand emballeur de viande JBS. Le site Web «Happy Blog» du groupe criminel, utilisé pour divulguer des données sur les victimes et extorquer des entreprises, n'est plus disponible.

Les responsables déclarent que l'attaque sur le pipeline Colonial utilisait un logiciel de cryptage appelé «DarkSide», développé par les associés de REvil.

Le responsable de la stratégie de cybersécurité de VMware, Tom Kellermann, indique que les forces de l'ordre et les services de renseignement ont empêché le groupe d’attaquer d'autres entreprises.

«Le FBI, en collaboration avec le Cyber Command, les services secrets et des pays partageant les mêmes idées, se sont véritablement engagés dans des actions perturbatrices importantes contre ces groupes», déclare Tom Kellermann, conseiller des services secrets américains sur les enquêtes sur la cybercriminalité. «REvil était en tête de liste.»

Une personnalité de la direction connue sous le nom de «0_neday», qui avait contribué à relancer les opérations du groupe après une précédente fermeture, précise que les serveurs de REvil ont été piratés par une partie non identifiée.

«Le serveur a été compromis et ils me cherchaient», a écrit 0_neday sur un forum sur la cybercriminalité le week-end dernier et repéré pour la première fois par la société de sécurité Recorded Future. «Bonne chance à tous; je pars.»

Les tentatives du gouvernement américain pour arrêter REvil, l'un des pires gangs de ransomware («rançongiciel») parmi les dizaines qui travaillent avec des pirates pour pénétrer et paralyser des entreprises du monde entier, se sont accélérées après que le groupe a compromis la société américaine de gestion de logiciels Kaseya en juillet.

Cette brèche a ouvert l'accès à des centaines de clients de Kaseya à la fois, ce qui a conduit à de nombreux appels d'urgence devant la multiplication des cyberincidents.

Clé de décryptage

À la suite de l'attaque de Kaseya, le FBI a obtenu une clé de décryptage universelle qui permettait aux personnes infectées via Kaseya de récupérer leurs fichiers sans payer de rançon.

Mais les responsables de l'application des lois ont d'abord conservé la clé pendant des semaines alors qu'ils poursuivaient discrètement les membres de REvil, a reconnu plus tard le FBI.

Selon trois personnes proches du dossier, des cyberspécialistes des forces de l'ordre et du renseignement ont réussi à pirater l'infrastructure du réseau informatique de REvil, obtenant ainsi le contrôle d’un certain nombre de leurs serveurs.

Après la mise hors ligne, en juillet, des sites Web que le groupe de pirates informatiques utilisait pour mener ses activités, le principal porte-parole du groupe, qui se fait appeler «Inconnu», a disparu d'Internet.

Lorsqu’un membre du gang 0_neday et d'autres ont restauré ces sites Web à partir d'une sauvegarde le mois dernier, ils ont redémarré sans le savoir certains systèmes internes qui étaient déjà contrôlés par les forces de l'ordre.

«Le gang de ransomware REvil a restauré l'infrastructure à partir des sauvegardes en supposant qu'elles n'avaient pas été compromises», déclare Oleg Skulkin, directeur adjoint de l'équipe chargée de la criminalistique numérique et de la réponse aux incidents chez Group-IB, dirigé par la Russie. «Paradoxalement, la tactique préférée du gang consistant à compromettre les sauvegardes s'est retournée contre eux.»

Des sauvegardes fiables constituent l'une des défenses les plus importantes contre les attaques de ransomware, mais elles doivent rester déconnectées des réseaux principaux faute de quoi elles peuvent également être cryptées par des extorqueurs tels que REvil.

Un porte-parole du Conseil de sécurité nationale de la Maison-Blanche a refusé de commenter spécifiquement l'opération.

«D'une manière générale, nous menons un effort gouvernemental global sur les ransomwares, notamment en perturbant l'infrastructure et les acteurs de ces derniers, en collaborant avec le secteur privé pour moderniser nos défenses et en créant une coalition internationale pour tenir les pays qui hébergent les acteurs des rançons responsables», déclare le porte-parole.

Le FBI a refusé de commenter.

Une personne proche du dossier déclare qu'un partenaire étranger du gouvernement américain a mené l'opération de piratage de l'architecture informatique de REvil. Un ancien responsable américain, qui a requis l'anonymat, déclare que l'opération est toujours en cours.

Ce succès s'explique par la détermination du sous-procureur général américain, Lisa Monaco, qui a estimé que les attaques de ransomware contre les infrastructures sensibles doivent être traitées comme un problème de sécurité nationale au même titre que le terrorisme, déclare M. Kellermann.

En juin, le sous-procureur général adjoint principal, John Carlin, a déclaré à Reuters que le ministère de la Justice donnait aux enquêtes sur les attaques de ransomware une priorité similaire.

Ces actions ont donné au ministère de la Justice et à d'autres agences une base légale pour obtenir l'aide des agences de renseignement américaines et du ministère de la Défense, souligne Tom Kellermann.

«Avant, vous ne pouviez pas pirater ces forums, et l'armée ne voulait pas s’en mêler. Depuis, les choses ont changé.»

 

Ce texte est la traduction d’un article paru sur Arabnews.com


Un nouveau directeur pour le British Museum, secoué par une affaire de vols

Des visiteurs admirent les marbres du Parthénon, également connus sous le nom de marbres d'Elgin, au British Museum de Londres le 9 janvier 2023. (AFP)
Des visiteurs admirent les marbres du Parthénon, également connus sous le nom de marbres d'Elgin, au British Museum de Londres le 9 janvier 2023. (AFP)
Short Url
  • Nicholas Cullinan, 46 ans, a été nommé après l'approbation unanime des administrateurs du musée et l'accord du Premier ministre Rishi Sunak
  • Nicholas Cullinan a salué l'«honneur» que représente la direction de «l'un des plus grands musées du monde»

LONDRES: L'actuel directeur de la National Portrait Gallery de Londres, Nicholas Cullinan, a été nommé directeur du British Museum, a annoncé jeudi l'institution secouée par le scandale du vol de 2 000 pièces et le feuilleton au long cours des marbres du Parthénon.

Le précédent directeur Hartwig Fischer, de nationalité allemande et premier non Britannique à diriger le musée, avait démissionné fin août 2023 après la révélation des vols.

L'intérim était depuis assuré par l'ex-directeur du Victoria & Albert Museum Mark Jones.

Nicholas Cullinan, 46 ans, a été nommé après l'approbation unanime des administrateurs du musée et l'accord du Premier ministre Rishi Sunak.

A la tête de la National Portrait Gallery depuis 2015, il a mené à bien un réaménagement complet des collections et du musée, dont l'espace ouvert au public a augmenté d'un cinquième, selon le communiqué annonçant sa nomination.

L'historien de l'art a notamment été commissaire au Metropolitan Museum of Art de New York et à la Tate Modern de Londres. Il prendra ses fonctions au British Museum cet été.

Nicholas Cullinan a salué l'"honneur" que représente la direction de "l'un des plus grands musées du monde".

Il a évoqué "un nouveau chapitre" qui "englobera les transformations les plus importantes, architecturales et intellectuelles, qui se déroulent dans tout musée dans le monde, pour continuer à faire en sorte que le British Museum soit aussi engagé et collaboratif que possible".

Fondé en 1753, le British Museum abrite une collection de huit millions d'objets, parmi lesquels la pierre de Rosette ou les frises du Parthénon, acquises à l'époque coloniale et revendiquées par la Grèce.

L'institution, dont la visite est gratuite, représente l'attraction touristique la plus prisée du Royaume-Uni, avec 5,8 millions de visiteurs en 2023, en augmentation de 42% par rapport à l'année précédent, selon l'association du secteur.

La révélation du scandale de vols à grande échelle a conduit au renvoi d'un employé, qui a été arrêté par la police sans qu'aucune poursuite ne soit engagée contre lui à ce stade.

Depuis leur découverte, le British Museum a indiqué avoir récupéré un peu plus de 350 objets.

Le nouveau patron du musée devra également mettre en oeuvre une rénovation majeure, estimée à plus d'un milliard d'euros, rendue nécessaire par l'état vétuste de certaines galeries.


Sénégal: la prise du pouvoir approche pour l'opposant antisystème Diomaye Faye

Le candidat de l'opposition sénégalaise à la présidentielle, Bassirou Diomaye Faye (Photo, AFP).
Le candidat de l'opposition sénégalaise à la présidentielle, Bassirou Diomaye Faye (Photo, AFP).
Short Url
  • L'opposant antisystème, M. Faye, qui était encore en prison il y a deux semaines, l'a emporté dès le premier tour dimanche avec 54,28% des voix, loin devant le candidat du pouvoir Amadou Ba (35,79%)
  • Au tour du Conseil constitutionnel maintenant d'examiner d'éventuels recours de candidats et de déclarer M. Faye définitivement vainqueur, ou d'annuler l'élection, hypothèse hautement invraisemblable

DAKAR: L'opposant sénégalais Bassirou Diomaye Faye pourrait être proclamé définitivement vainqueur de la présidentielle d'ici à la fin de la semaine, parachevant une ascension extraordinaire et express jusqu'au sommet de l'Etat.

Après des semaines de crise qui ont fait craindre un report de l'élection jusqu'à décembre ou une vacance du pouvoir, l'appareil s'emploie à rétablir à marche forcée la norme de transition réglée qui caractérise le pays et à rendre possible une passation conforme à la tradition entre le sortant Macky Sall et son successeur d'ici à la semaine prochaine.

L'organe chargé de proclamer les résultats finaux provisoires les a rendus publics mercredi alors qu'il avait jusqu'à vendredi pour le faire. L'opposant antisystème, M. Faye, qui était encore en prison il y a deux semaines, l'a emporté dès le premier tour dimanche avec 54,28% des voix, loin devant le candidat du pouvoir Amadou Ba (35,79%).

Au tour du Conseil constitutionnel maintenant d'examiner d'éventuels recours de candidats et de déclarer M. Faye définitivement vainqueur, ou d'annuler l'élection, hypothèse hautement invraisemblable.

Les candidats ont 72 heures pour saisir le Conseil, dit la Constitution. Mais le Conseil a décidé lui aussi de réduire les délais, probablement pour faire en sorte qu'une passation ait lieu avant le 2 avril, date officielle de fin du mandat de M. Sall.

Le Conseil a donné à tout contestataire jusqu'à jeudi minuit (vendredi 00H00 GMT) pour se manifester.

Il a invoqué "les circonstances exceptionnelles" ayant entraîné "la compression de tous les délais". Il fait référence au report de la présidentielle, initialement prévue le 25 février et finalement fixée au 24 mars.

L'ajournement décrété à la dernière minute par le président Sall a causé une grave crise et semé le doute sur la possibilité d'une passation avant l'expiration de son mandat.

Un transfert dans les temps importe dans un pays qui s'enorgueillit de ses pratiques démocratiques et qui est considéré comme l'un des plus stables en Afrique de l'Ouest secouée par les coups d'Etat.

En l'absence de contestation, "le Conseil proclame immédiatement les résultats définitifs du scrutin", dit la Constitution. En cas de recours, le Conseil a, théoriquement, cinq jours pour statuer.

Les adversaires de M. Faye ont reconnu sa victoire et aucun n'a jusqu'alors exprimé publiquement l'intention de soulever d'objection. Les résultats provisoires paraissent rendre la victoire de M. Faye irréfutable tout en confirmant la magnitude de ce qui s'apparente à un séisme politique.

«Dernier» Conseil 

Bassirou Diomaye Faye est le premier opposant à l'emporter dès le premier tour depuis l'Indépendance en 1960.

Jamais porté à une fonction élective nationale auparavant, il devrait devenir à 44 ans le cinquième et plus jeune président du pays de 18 millions d'habitants.

Son avènement pourrait annoncer une profonde remise en cause systémique. Il se présente comme l'homme de la "rupture" avec douze années de présidence Sall, du rétablissement d'une "souveraineté" bradée selon lui à l'étranger, et d'un "panafricanisme de gauche". Il fait voeu de combattre la corruption et l'injustice.

Face à l'éventualité d'une vacance de pouvoir, le président Sall a dit plusieurs fois qu'il serait parti le 2 avril, même si le Conseil constitutionnel a laissé la porte ouverte à une prolongation si nécessaire.

Le Conseil des ministres qu'il a présidé mercredi était le "dernier", selon le communiqué de ses services. Il a demandé au gouvernement de "prendre toutes les dispositions requises" pour préparer les dossiers de passation, en vue de "l’installation dans les meilleures conditions" du nouveau président, dit le communiqué.

Les trois dernières années de la présidence Sall ont été marquées par les retombées des crises globales, un farouche bras de fer avec l'opposition antisystème et les troubles intérieurs.

Le Sénégal a connu un nouvel accès de fièvre en février quand M. Sall a décrété l'ajournement de l'élection. Des dizaines de personnes ont été tuées et des centaines arrêtées depuis 2021, et les lettres de créance démocratiques du Sénégal ont été examinées sous un autre jour.

M. Faye a lui-même été détenu des mois avant sa libération en pleine campagne électorale mi-mars.

Il a énoncé "la réconciliation nationale", la "refondation" des institutions et "l'allègement sensible du coût de la vie" comme ses "chantiers prioritaires". Il a pris soin de rassurer à l'étranger, attentif à ses promesses de reconsidérer ou renégocier les partenariats existants. Le Sénégal "restera le pays ami et l'allié sûr et fiable de tout partenaire qui s'engagera avec nous dans une coopération vertueuse, respectueuse et mutuellement productive", a-t-il dit.


Pont effondré à Baltimore: les corps de deux des six ouvriers retrouvés

Le pont Francis Scott Key, effondré, se trouve au sommet du porte-conteneurs Dali à Baltimore, dans le Maryland, le 27 mars 2024. (AFP)
Le pont Francis Scott Key, effondré, se trouve au sommet du porte-conteneurs Dali à Baltimore, dans le Maryland, le 27 mars 2024. (AFP)
Short Url
  • Les corps repêchés ont été identifiés comme ceux de deux hommes âgés de 35 et 26 ans, originaires du Mexique et du Guatemala
  • En raison de la quantité de béton et de débris, «les plongeurs ne sont plus en mesure de se frayer un chemin en sécurité» vers «ce que nous pensons être les véhicules piégés», dit la police

BALTIMORE: Les corps sans vie de deux des six ouvriers recherchés ont été repêchés mercredi des eaux glacées du port de Baltimore, sur la côte Est américaine, ont annoncé les autorités, au lendemain de l'effondrement spectaculaire d'un pont percuté par un porte-conteneurs.

"Des plongeurs ont localisé un pick-up rouge à environ 7.6 mètres de profondeur", a annoncé lors d'un point presse, la police du Maryland, l'Etat où se situe Baltimore. "Deux victimes du drame étaient prisonnières du véhicule".

Les corps repêchés ont été identifiés comme ceux de deux hommes âgés de 35 et 26 ans, originaires du Mexique et du Guatemala, qui faisaient partie de l'équipe d'ouvriers présente sur la chaussée du pont Francis Scott Key au moment de l'accident.

Les corps de quatre de leurs collègues, tous présumés morts, n'ont eux pas encore été retrouvés, ont ajouté les autorités.

Mais, en raison notamment de la quantité de béton et de débris, "les plongeurs ne sont plus en mesure de se frayer un chemin en sécurité" vers "ce que nous pensons être les véhicules piégés", a déclaré Roland Butler, de la police du Maryland.

Les secours vont donc chercher à retirer la structure de l'eau pour faciliter l'accès aux plongeurs, a-t-il précisé.

Les autorités avaient averti mardi soir qu'elles ne pensaient pas pouvoir "retrouver ces individus encore en vie", alors que deux membres de leur équipe avaient été secourus peu après le drame.

Les victimes, originaires d'Amérique latine selon la presse américaine, réparaient des nids de poule sur le pont lorsqu'il s'est écroulé dans le fleuve Patapsco.

«Pas conçu pour résister»

L'agence américaine de sécurité des transports (NTSB) a fourni mercredi une chronologie détaillée de la tragédie, basée sur l'analyse préliminaire de l'enregistreur de données du porte-conteneurs.

Long de 300 mètres pour 48 mètres de largeur, le Dali, battant pavillon singapourien, a quitté le quai du port de Baltimore mardi à 0H39 (04H39 GMT) à destination de l'Asie, a indiqué Marcel Muise, enquêteur du NTSB, lors d'une conférence de presse.

À 1H24 locales, des alarmes ont commencé à retentir à bord du navire, signalant des problèmes de propulsion. Le pilote a rapidement informé les autorités portuaires par radio que le navire se dirigeait vers le pont, et a demandé l'intervention de remorqueurs.

L'appel à l'aide a été également reçu par deux équipes de l'autorité locale des transports qui se trouvaient sur le pont en raison des travaux. Ces dernières ont alors fermé toutes les voies de circulation, sauvant ainsi probablement des vies.

Puis, à 1H29, l'enregistreur du navire a enregistré des "sons correspondant à la collision".

Le pont, emprunté chaque jour par des dizaines de milliers de véhicules, s'est alors effondré tel un château de cartes, des pans entiers de la structure se retrouvant sur le bateau.

Des images impressionnantes de vidéosurveillance montrent le porte-conteneurs dévier de son cap, heurter une pile du pont inauguré en 1977 puis s'écrouler.

Pour le ministre américain des Transports Pete Buttigieg, "ce type de pont (...) n'a tout simplement pas été conçu pour résister à un choc direct contre pilier de soutien essentiel".

L'équipage avait tenté en vain de ralentir la course du navire en jetant l'ancre.

L'enquête préliminaire montre qu'il s'agit d'un accident, selon les autorités.

«Coût de la reconstruction»

Le président Joe Biden s'est engagé à ce que "l'Etat fédéral paie la totalité du coût de la reconstruction" du pont, qui porte le nom de l'auteur des paroles de l'hymne national américain, en admettant que cela prendrait du temps.

"Nous serons aux côtés des habitants de Baltimore aussi longtemps qu'il le faudra", a-t-il encore assuré mercredi soir sur le réseau social X.

Car l'enjeu est aussi économique: ce pont à quatre voies, long de 2,6 km, est situé sur un axe nord-sud crucial pour l'économie de la côte Est des Etats-Unis.

Pour l'heure, le transport maritime y est "suspendu jusqu'à nouvel ordre", selon les autorités. Le port de Baltimore est le neuvième du pays en termes d'activité et génère plus de 15.000 emplois.

Le Dali est "stable" et ne représente pas de danger pour l'environnement et le public, en dépit de la présence à bord de 5,6 milliards de litres de diesel et de quelques conteneurs de matières dangereuses, a assuré mercredi Peter Gautier, responsable des gardes-côtes.

Deux conteneurs, sur un total de 4,700, sont tombés à l'eau.

Le navire est exploité par la société maritime Synergy Group et affrété par le géant danois du transport maritime Maersk.

Les autorités portuaires de Singapour ont déclaré mercredi qu'il avait passé avec succès deux inspections en 2023 et qu'une jauge de contrôle de la pression du carburant défectueuse avait été réparée en juin.

Les autorités chiliennes avaient signalé en 2023 un défaut dans les machines du navire, une anomalie rapidement réparée selon elles.