La prochaine grande cybermenace n’est pas un ransomware. C’est un killware.

La prochaine grande cybermenace n’est pas un ransomware. C’est un killware.

Comme la plupart des Américains sont encore en train d’apprendre sur le piratage-pour-argent crime de ransomware, le haut responsable de la sécurité intérieure du pays est préoccupé par un danger numérique encore plus terrible : killware, ou cyberattaques qui peuvent littéralement mettre fin à des vies.

L’attaque de rançongiciels du pipeline colonial en avril a galvanisé l’attention du public en raison de ses complications liées aux consommateurs, y compris les longues files d’attente dans les stations-service, a déclaré le secrétaire à la Sécurité intérieure, Alejandro Mayorkas, dans une interview avec le comité de rédaction de USA TODAY la semaine dernière.

Mais « il y a eu un cyber incident qui n’a heureusement pas réussi », a-t-il ajouté. « Il s’agit d’une tentative de piratage d’une installation de traitement de l’eau en Floride, et le fait que cette attaque n’était pas pour un gain financier, mais plutôt pour faire du tort. »

Cette attaque contre le réseau d’aqueduc d’Oldsmar, en Floride, en février, visait à distribuer de l’eau contaminée aux résidents, « et cela aurait dû toucher tout le pays », a déclaré M. Mayorkas.

USA TODAY et d’autres ont signalé ce piratage, mais il est venu au milieu d’une rafale de cyberattaques plus importantes telles que l’intrusion SolarWinds dans les agences gouvernementales américaines, les entreprises de technologie telles que Microsoft et les entreprises de cybersécurité.

Mayorkas et les experts en cybersécurité ont déclaré que l’intrusion d’Oldsmar était l’une des nombreuses indications que les pirates informatiques malveillants ciblent de plus en plus des parties critiques de l’infrastructure du pays – depuis les hôpitaux et l’approvisionnement en eau jusqu’aux banques, les services de police et le transport – d’une manière qui pourrait blesser ou même tuer des gens.
« La tentative de piratage de cette installation de traitement de l’eau en février 2021 a démontré les risques graves que pose la cyberactivité malveillante pour la santé et la sécurité publiques », a déclaré M. Mayorkas à USA TODAY dans un échange de suivi. « La fréquence et la gravité des attaques augmentent, et la cybersécurité doit être une priorité pour nous tous. »


Technologie militarisée

À l’instar de Mayorkas, des experts en sécurité informatique du secteur privé préviennent que les incidents de sécurité soi-disant cyberphysiques impliquant un large éventail d’infrastructures nationales critiques pourraient entraîner des pertes de vie. Il s’agit notamment de la fabrication de pétrole et de gaz et d’autres éléments du secteur de l’énergie, ainsi que des systèmes hydrauliques et chimiques, du transport et de l’aviation et des barrages.

L’essor des produits de consommation tels que les thermostats intelligents et les véhicules autonomes signifie que les Américains vivent dans un « monde omniprésent de systèmes cyberphysiques » qui est devenu un champ de mines potentiel de menaces, a déclaré Wam Voster, directeur de recherche principal de la société de sécurité Gartner.

Dans un rapport publié le 21 juillet, M. Gartner a déclaré qu’il y a suffisamment de preuves d’attaques de plus en plus débilitantes et dangereuses pour s’attendre à ce que d’ici 2025, « les cyberattaquants disposent d’environnements technologiques opérationnels militarisés pour réussir à blesser ou à tuer des humains ».

« L’attaque contre l’installation de traitement de l’eau d’Oldsmar montre que les attaques de sécurité contre la technologie opérationnelle ne sont plus seulement inventées à Hollywood », a écrit M. Voster dans un article qui l’accompagne.

Un autre exemple, a écrit Voster, était le malware Triton qui a été identifié pour la première fois en décembre 2017 sur les systèmes technologiques opérationnels d’une installation pétrochimique. Il a été conçu pour désactiver les systèmes de sécurité mis en place pour arrêter l’usine en cas d’événement dangereux.

« Si le logiciel malveillant avait été efficace, il était fort probable qu’il y ait des pertes de vie », a écrit M. Voster. « Il n’est pas déraisonnable de supposer qu’il s’agissait d’un résultat prévu. Par conséquent, le « malware » est maintenant entré dans le domaine des « killware ». »

Une cible effrayante : les hôpitaux

Peu d’incidents ont été signalés où des pirates informatiques ont fermé des parties de l’infrastructure essentielle du pays d’une manière qui aurait pu contribuer à la mort ou aux blessures graves d’une personne.

Cependant, les autorités américaines sont préoccupées par la vague d’attaques par ransomware contre les hôpitaux, qui ont dû détourner des patients et annuler ou différer des chirurgies critiques, des tests et d’autres procédures médicales, comme ce fut le cas dans une cyberattaque nationale contre les Services de santé universels, l’un des plus importants fournisseurs de soins de santé aux États-Unis, en septembre 2020.

Dans les hacks hospitaliers, les patients pourraient mourir ou subir des complications potentiellement mortelles, mais il serait presque impossible de le savoir à moins que les centres médicaux offrent cette information, a déclaré un haut fonctionnaire du département de la Sécurité intérieure parlant à la condition de l’anonymat parce qu’il n’était pas autorisé à discuter des préoccupations de sécurité.

Il y a un an, le FBI, le DHS et le Department of Health and Human Services ont lancé un avertissement concernant les attaques contre les hôpitaux, décrivant les tactiques, les techniques et les procédures utilisées par les cybercriminels pour infecter les systèmes avec des rançongiciels à des fins financières.

« La CISA (Cybersecurity and Infrastructure Security Agency), le FBI et HHS ont des informations crédibles sur une menace accrue et imminente de cybercriminalité pour les hôpitaux et les fournisseurs de soins de santé américains », a déclaré l’alerte. « La CISA, le FBI et HHS partagent cette information afin de fournir un avertissement aux fournisseurs de soins de santé afin de s’assurer qu’ils prennent des précautions opportunes et raisonnables pour protéger leurs réseaux contre ces menaces. »

Les autorités soupçonnent que le problème peut être plus important que ce qui a été signalé, en partie parce que les entreprises privées et même les agences gouvernementales ne signalent souvent pas les piratages par rançongiciel de leurs systèmes opérationnels. Ne pas signaler de telles attaques alimente le marché criminel en croissance rapide dans les attaques ransomware, qui peut apporter des pirates des millions de paiements, l’agent de DHS a déclaré, « et il ne nous aide pas à apprendre les dernières techniques et tactiques utilisées par les pirates. »

En Alabama, une femme a poursuivi un hôpital cette année, alléguant que son omission de divulguer une cyberattaque contre son système avait entraîné une diminution des soins qui ont causé la mort de son bébé.

L’année dernière, une attaque de hacker a causé la défaillance des systèmes informatiques dans un grand hôpital en Allemagne. Cela a forcé une femme qui avait besoin d’une admission urgente à être emmenée dans une autre ville pour un traitement, où elle est morte.

Dans les deux cas, les hôpitaux et les médecins impliqués ont nié les allégations selon lesquelles ils étaient responsables, et aucun lien prouvé entre les hacks et les morts n’a été établi.


Responsabilité en cas de perte de vie

Les experts en cybersécurité avertissent les dirigeants des gouvernements et des entreprises qu’ils pourraient être tenus responsables financièrement ou légalement si les violations des systèmes informatisés qu’ils surveillent ont eu un impact humain.

« Aux États-Unis, le FBI, la NSA et la Cybersecurity and Infrastructure Security Agency (CISA) ont déjà augmenté la fréquence et les détails concernant les menaces pesant sur les systèmes liés aux infrastructures essentielles, dont la plupart appartiennent à l’industrie privée. » Katell Thielemann, vice-présidente de la recherche chez Gartner, a déclaré dans un rapport en septembre 2020. « Bientôt, les PDG ne pourront pas plaider l’ignorance ou reculer derrière les polices d’assurance. »

L’entreprise a estimé que l’impact financier des attaques de sécurité cyber-physique entraînant des décès dépassera 50 milliards de dollars d’ici quelques années.

 

Thomas GROLLEAU

Thomas GROLLEAU est un passionné du journaliste et d'internet depuis plus de 25 ans. Il a créé le site Journal du Freenaute pour partager sa passion au plus grand nombre. Il est le responsable de la rédaction. Thomas vous fera aimer les informations relatives à l'informatique.