Cyberattaque sur Colonial Pipeline: mise hors service de DarkSide du net

La cyberattaque par un rançongiciel du principal fournisseur de carburants a provoqué une pénurie de produits pétroliers dans les villes de la Côte Est des Etats-Unis. (Photo, AFP)
La cyberattaque par un rançongiciel du principal fournisseur de carburants a provoqué une pénurie de produits pétroliers dans les villes de la Côte Est des Etats-Unis. (Photo, AFP)
Short Url
Publié le Samedi 15 mai 2021

Cyberattaque sur Colonial Pipeline: mise hors service de DarkSide du net

  • Le hacker ayant réclamé une rançon à Colonial Pipeline aurait admis que son groupe DarkSide avait perdu l'accès à plusieurs des serveurs utilisés pour héberger son blog ou se faire payer
  • Accessible via le navigateur TOR sur le dark web, la version clandestine d'internet, le site de DarkSide était inaccessible vendredi matin

NEW YORK : L'étau semblait se resserrer vendredi autour des pirates informatiques de DarkSide à l'origine de la cyberattaque contre l'opérateur d'oléoducs américain Colonial Pipeline: des experts affirment que ses serveurs ont été mis hors service et que ses messages ont même été supprimés par une importante communauté de cybercriminels russes.

Selon la firme de cybersécurité Recorded Future, le hacker ayant réclamé une rançon à Colonial Pipeline a admis que son groupe DarkSide avait perdu l'accès à plusieurs des serveurs utilisés pour héberger son blog ou se faire payer. 

Accessible via le navigateur TOR sur le dark web, la version clandestine d'internet, le site de DarkSide était inaccessible vendredi matin.

« Il y a quelques heures, nous avons perdu l'accès à la partie publique de notre infrastructure, à savoir notre blog, notre serveur de paiement et nos serveurs DoS », a écrit dans un article un pirate utilisant le pseudonyme Darksupp, cité par Recorded Future.

Les attaques par déni de service (Denial of Service ou DoS en anglais) visent à provoquer la fermeture d'un site web en le surchargeant de trafic.

Darksupp a aussi indiqué que des fonds en cryptomonnaie, utilisés pour le règlement des rançons exigées par le groupe de hackers, avaient été retirés.

Un analyste de Recorded Future estime toutefois possible que les aveux de DarkSide soient un subterfuge permettant au groupe de fermer lui-même ses infrastructures pour éviter d'avoir à payer ses associés.

Kimberly Goody, responsable de l'analyse des crimes financiers chez Mandiant, une filiale du géant américain de la cybersécurité FireEye, a déclaré dans un communiqué transmis à l'AFP que son entreprise « n'avait pas pu valider de manière indépendante les affirmations » sur le démantèlement de DarkSide.

« Certaines spéculations d'autres acteurs indiquent qu'il pourrait s'agir d'une escroquerie de sortie (exit scam) », ajoute-t-elle en référence à un stratagème visant à faire croire à une fermeture pour conserver l'essentiel du butin.

DarkSide banni d'un forum russe

En début de semaine, le président américain Joe Biden avait accusé des pirates « basés en Russie » d'avoir mené l'attaque contre Colonial Pipeline vendredi dernier sans pour autant affirmer que Moscou était directement impliqué.

M. Biden a affirmé jeudi être « en communication directe avec Moscou au sujet de la nécessité pour les pays responsables de prendre des mesures décisives contre ces réseaux de rançongiciels ».

Auditionné par un groupe parlementaire vendredi, le général Paul M. Nakasone, directeur du commandement interarmées en charge de la cybersécurité (USCYBERCOM) et de la National Security Agency (NSA), a assuré que son rôle était « de soumettre une série d'opportunités opérationnelles ou de plans d'actions que le secrétaire d'Etat ou le président peuvent considérer. »

Par ailleurs, toutes les publications de DarkSide sur le forum russophone de cybercriminels XSS ont été supprimées, selon les chercheurs de la plateforme de protection contre les risques numériques Dark Shadows.

En revanche, les annonces de recrutement du groupe criminel sur une autre plateforme de langue russe prisée des hackers, Exploit, étaient toujours en ligne, mais elles n'ont pas été mises à jour depuis avril et ne font aucune référence à l'attaque contre Colonial Pipeline.

Selon des informations de Bloomberg et d'autres médias américains, Colonial Pipeline aurait payé 5 millions de dollars aux pirates. Interrogé par l'AFP, un porte-parole de Colonial Pipeline n'a pas fait de commentaire, indiquant seulement qu'il y avait une enquête en cours.

L'administration Biden s'est aussi abstenue de commenter tout en soulignant que les compagnies devaient renforcer leur sécurité informatique.

Selon le site Elliptic, qui suit l'utilisation criminelle de cryptoactifs, le portefeuille de bitcoins de DarkSide a été crédité de 75 BTC (environ 4,4 millions de dollars) le 8 mai, au lendemain de l'attaque contre Colonial Pipeline.

Au total, le groupe a reçu l'équivalent de 17,5 millions de dollars depuis début mars, assure également Elliptic.

L'attaque contre les systèmes informatiques de Colonial Pipeline, qui transporte près de la moitié des produits pétroliers américains depuis le Golfe du Mexique vers la côte est des Etats-Unis, a forcé l'opérateur à fermer l'ensemble de ses opérations.

Cela a provoqué un mouvement de panique chez de nombreux automobilistes, craignant une pénurie d'essence et se ruant vers les stations-service.

Colonial Pipeline a toutefois affirmé jeudi soir avoir relancé l'ensemble

 


L'armée américaine dit avoir mené une nouvelle série de frappes en Iran, sur 90 cibles

Des personnes se rassemblent sur la place Ferdowsi à Téhéran pour les funérailles du guide suprême iranien, Ali Khamenei. (AFP)Les États-Unis annoncent avoir frappé environ 90 cibles militaires en Iran, dont des systèmes de défense antiaérienne
Des personnes se rassemblent sur la place Ferdowsi à Téhéran pour les funérailles du guide suprême iranien, Ali Khamenei. (AFP)Les États-Unis annoncent avoir frappé environ 90 cibles militaires en Iran, dont des systèmes de défense antiaérienne
  • Les États-Unis annoncent avoir frappé environ 90 cibles militaires en Iran, dont des systèmes de défense antiaérienne
  • Selon le Centcom, ces frappes visent à réduire les capacités de l’Iran à menacer la navigation commerciale dans le détroit d’Ormuz

WASHINGTON: L'armée américaine a atteint quelque 90 "cibles militaires" en Iran, parmi lesquelles des systèmes de défense antiaérienne, lors de sa dernière série de frappes, a annoncé mercredi soir le commandement américain pour le Moyen-Orient (Centcom).

"Les Etats-Unis ont achevé une nouvelle série de frappes contre l'Iran, le 8 juillet, afin de dégrader davantage la capacité de l'Iran à s'en prendre au transport maritime commercial et à d'innocents marins civils dans le détroit d'Ormuz", a détaillé le Centcom dans un communiqué publié sur X.


Les Etats-Unis vont retirer la Syrie de leur liste des Etats soutenant le terrorisme

L'adoubement d'Ahmed al-Chareh par Donald Trump intervient malgré les réticences d'Israël, qui a mené à plusieurs reprises des frappes aériennes en Syrie. (AFP)
L'adoubement d'Ahmed al-Chareh par Donald Trump intervient malgré les réticences d'Israël, qui a mené à plusieurs reprises des frappes aériennes en Syrie. (AFP)
  • Cette annonce survient après la rencontre en marge du sommet de l'Otan en Turquie entre Donald Trump et Ahmed al-Chareh, un ancien djihadiste devenu président de la Syrie après le coup d'Etat contre le régime de Bachar al-Assad en décembre 2024
  • "C'est un autre pas historique de la part du président Trump pour donner au peuple syrien une chance de grandeur", a déclaré Marco Rubio dans un communiqué

WASHINGTON: Les Etats-Unis ont annoncé mercredi qu'ils allaient retirer la Syrie de leur liste noire des pays accusés de soutenir le terrorisme, une classification vieille de plusieurs dizaines d'années qui limitait les investissements dans ce pays.

Le secrétaire d'Etat Marco Rubio a officiellement informé le Congrès de cette décision attendue de longue date, qui sera effective dans 45 jours, à moins que les parlementaires ne choisissent, de manière inattendue, de la bloquer.

Cette annonce survient après la rencontre en marge du sommet de l'Otan en Turquie entre Donald Trump et Ahmed al-Chareh, un ancien djihadiste devenu président de la Syrie après le coup d'Etat contre le régime de Bachar al-Assad en décembre 2024.

"C'est un autre pas historique de la part du président Trump pour donner au peuple syrien une chance de grandeur", a déclaré Marco Rubio dans un communiqué.

"Lever les sanctions contre la Syrie va débloquer le commerce international et les investissements, donner à la Syrie une chance de se reconstruire, et ouvrir un nouveau chapitre pour le peuple syrien", a-t-il poursuivi.

L'adoubement d'Ahmed al-Chareh par Donald Trump intervient malgré les réticences d'Israël, qui a mené à plusieurs reprises des frappes aériennes en Syrie.

Le président américain avait auparavant publiquement poussé en faveur d'un accord de paix entre Israël et la Syrie, mais a finalement choisi de lever cette classification malgré l'absence de progrès dans les négociations.

Dans son communiqué, Marco Rubio a expliqué que cette décision avait été prise après avoir reçu des "assurances formelles" de la part d'Ahmed al-Chareh selon lesquelles "la Syrie ne soutiendra pas d'actes de terrorisme international à l'avenir".

Il a soutenu qu'une "Syrie stable, unifiée et en paix avec elle-même et avec ses voisins ne sera pas seulement bénéfique pour la région, mais pour le monde entier".

Donald Trump avait commencé à lever la plupart des sanctions contre la Syrie il y a un an, après que la Turquie et l'Arabie saoudite l'ont encouragé à rencontrer Ahmed al-Chareh.

"Il fait un travail incroyable pour unifier la Syrie", a affirmé le président américain à son sujet lors de la rencontre à Ankara.

La Syrie était sur la liste américaine des pays accusés de soutenir le terrorisme depuis sa création en 1979.

Après cette décision, seuls l'Iran, la Corée du Nord et Cuba demeurent sur cette liste.

 


Trump affirme que le cessez-le-feu avec l'Iran est « terminé»

Le président américain Donald Trump s'exprime lors d'une rencontre avec le secrétaire général de l'Otan, en marge du sommet de l'Alliance à Ankara, le 8 juillet 2026. (AFP)
Le président américain Donald Trump s'exprime lors d'une rencontre avec le secrétaire général de l'Otan, en marge du sommet de l'Alliance à Ankara, le 8 juillet 2026. (AFP)
  • Donald Trump affirme que le dossier iranien est « terminé » pour lui, tout en laissant la porte ouverte à une reprise des négociations par ses émissaires
  • Les tensions restent vives entre Washington et Téhéran, sur fond de frappes, de représailles militaires et d'accusations mutuelles de violation du cessez-le-feu

ANKARA: Le président américain Donald Trump a affirmé mercredi à Ankara que le cessez-le-feu avec l'Iran était "terminé", ouvrant toutefois la porte à une reprise éventuelle des discussions.

"En ce qui me concerne, c'est terminé", a-t-il lancé au deuxième jour d'un sommet de l'Otan.

"C'est juste une perte de temps de discuter avec eux, ce sont des menteurs", a-t-il ajouté.

Le locataire de la Maison Blanche a toutefois laissé entendre que les négociateurs pourraient poursuivre les discussions, après l'avoir consulté.

Jared Kushner et Steve Witkoff sont "de bons négociateurs, ils veulent négocier", a-t-il ainsi affirmé, mais "ils doivent revenir vers moi".

Le président américain n'a pas eu de mots assez durs contre les dirigeants iraniens qu'il a qualifiés d'"ordures" avec qui il refusait désormais de discuter.

"Je ne veux plus avoir affaire à eux, ce sont des ordures. (...) ce sont des malades", a-t-il encore affirmé .

"Ils sont vicieux, ce sont des gens violents, et s'ils avaient l'arme nucléaire, ils l'utiliseraient", a-t-il ajouté, aux côtés du secrétaire général de l'Otan Mark Rutte, affirmant avoir pourtant obtenu un accord avec l'Iran.

"Tout le monde est d'accord : pas d'arme nucléaire. On passe un marché. Ils sortent, plaisantent devant la presse, ils disent qu'on n'en a même jamais parlé. Il y a quelque chose qui ne tourne pas rond chez eux, ils sont fous", a-t-il encore déclaré.

Les Etats-Unis ont frappé plus de 80 cibles en Iran en riposte à des tirs iraniens sur des navires commerciaux dans le détroit d'Ormuz, déclenchant mercredi des représailles de Téhéran qui a dit avoir attaqué des bases américaines au Koweït et à Bahreïn.

Washington a également rétabli ses sanctions économiques sur le pétrole iranien après les attaques de navires. Les deux camps s'accusent de violer leur protocole d'accord, signé le 17 juin pour mettre fin à la guerre déclenchée le 28 février par l'offensive américano-israélienne contre la République islamique.