La cybersécurité multi-trou du pipeline Colonial
Le 07 juin 2021 à 08h04
2 min
Logiciel
Logiciel
Le piratage du pipeline Colonial, qui a entraîné une pénurie de carburants aux États-Unis, résulterait d'après Bloomberg d'une cascade caricaturale de failles indiquant que les standards les plus basiques de la cybersécurité n'auraient pas été respectés.
Des chercheurs de Mandiant n'ont pas trouvé de preuve de phishing pour l'employé dont les informations d'identification ont été utilisées pour installer le ransomware.
Ils ont en effet découvert que l'attaque aurait été initiée via un VPN au moyen de son mot de passe, qui avait été compromis. Le compte n'était plus utilisé au moment de l'attaque, mais n'avait pas pour autant été désactivé.
Mandiant a de plus retrouvé sa trace dans un lot de mots de passe en vente sur le darkweb, signe qu'il était compromis depuis un certain temps.
S'il n'est pas établi que la compromission soit associée à la découverte de ce mot de passe sur le dark web, l'accès au VPN n'était pas protégé par une authentification à double facteur.
Les pirates, affiliés à un groupe de cybercriminalité lié à la Russie connu sous le nom de DarkSide, avaient également volé près de 100 Go de données et menacé Colonial de les divulguer si la rançon n'était pas payée.
Un cascade de bévues qui, outre les 75 bitcoins de rançon (un peu moins de 4,4 millions de dollars), a incité le département américain de la Justice à élever les enquêtes au sujet des attaques de ransomware au même rang de priorité que le terrorisme.
Le 07 juin 2021 à 08h04
Commentaires (9)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 07/06/2021 à 09h48
Ils feraient mieux d’élever les enquêtes sur les bonnes pratiques de sécurité informatique dans les entreprises :v
Sérieux, le MFA passe encore mais des comptes user non désactivés…
Le 07/06/2021 à 10h50
Bonjour, j’ai une petite question d’ordre générale : l’article évoque une attaque par VPN (avec mot de passe compromis), j’avoue avoir du mal à comprendre la différence entre un VPN et une connexion SSH. Est-ce que l’attaque n’aurait pas pu avoir lieu si la connexion était via paire de clé SSH ? Merci
Le 07/06/2021 à 10h58
le mot de passe du VPN était dispo dans la nature.
si le mot de passe du compte SSH ou sa clé étaient dans la nature, ce serait pareil.
Le 07/06/2021 à 12h35
Merci à tous. Du coup pour vulgariser au maximum (en acceptant quelques erreurs d’interprétations), ça veut dire qu’un :
g tou compri ? ^^
Le 07/06/2021 à 11h08
Le VPN est une connexion réseau à un réseau distant via un tunnel qui “simule” un réseau local (comme si tu étais branché avec un câble au bureau)
L’accès SSH est un accès sécurisé à une machine qui, si elle est sur internet, te permet d’y entrer des commandes et du coup d’accéder à son réseau (de la machine), mais ton pc n’aura pas l’accès au réseau sur lequel la machine distante est branchée.
Tu saisies maintenant ?
Le 07/06/2021 à 11h53
Oui et non (port forwarding)
Le 07/06/2021 à 12h33
SSH + reverse proxy : t’es sur le réseau local de la machine distante
Le 07/06/2021 à 12h41
SSH est une invite de commande distante (dans ce contexte) (et sécurisée). Un VPN est un déport local du réseau distant (ta machine se retrouve dans le réseau).
Le 07/06/2021 à 17h58
Merci, c’est plus clair à présent, c’est gentil à toi et vous autres de m’avoir éclairé.