Cyberattaque Kaseya : le coup de poker manqué du FBI contre le terrible gang REvil

Début juillet, une faille d'un logiciel de Kaseya a permis au gang REvil de déclencher une épidémie inédite de rançongiciels, qui a touché des centaines d'entreprises. Rebondissement : si les forces de l'ordre sont parvenues à annuler une partie des dégâts provoqués par le gang, le FBI aurait pu les réduire quasiment à néant car il avait obtenu très vite la clé de déchiffrement permettant d'annihiler l'attaque. Mais plutôt que d'aider immédiatement les victimes, l'agence américaine a préféré tenter un coup de poker pour coincer les cybercriminels... sans succès. Problème : les entreprises victimes ont perdu beaucoup d'argent. Explications.
François Manens

6 mn

(Crédits : DR)

Le feuilleton cyber de l'été 2021 livre-t-il enfin son dénouement ? Le 2 juillet, à peine quelques mois après la cyberattaque qui avait frappé les oléoducs de Colonial Pipeline, les autorités américaines s'étaient mobilisées en urgence face à une nouvelle cyberattaque, d'une ampleur inédite. Le gang REvil avait réussi à exploiter une faille informatique jusqu'ici inconnue, présente sur VSA, le logiciel phare de l'entreprise floridienne Kaseya.

Les cybercriminels ont employé cet angle d'attaque exclusif pour déployer leur rançongiciel, un logiciel malveillant capable de paralyser n'importe quel système informatique, sur des milliers d'ordinateurs. Le logiciel vulnérable de Kaseya était notamment utilisé par des entreprises spécialisées dans l'infogérance, c'est-à-dire dans la gestion du parc informatique d'autres sociétés. Autrement dit, grâce à une seule faille, les hackers ont pu s'infiltrer sur les systèmes de dizaines de clients de Kaseya -54, d'après la dernière estimation de l'entreprise-, ce qui leur a permis de toucher entre 800 et 1.500 entreprises, qui ne sont que finalement que des clients de clients de Kaseya.

Comme à leur habitude, les hackers exigeaient de la part des victimes le paiement d'une rançon en échange de la clé de chiffrement nécessaire pour réparer les dégâts de l'attaque.

Mais dix jours plus tard, le 12 juillet donc, l'affaire, qui était remontée au plus haut niveau du pouvoir américain, avait pris un tournant étrange. REvil avait effacé d'Internet toute trace de son existence avant même que les autorités ne parviennent à remonter au cœur de l'organisation. Et encore neuf jours plus tard, Kaseya présentait à ses clients un outil capable de déchiffrer tout système touché par l'attaque, et donc de résoudre le problème. Comment? L'entreprise expliquait alors qu'un "parti tiers" lui avait fourni la clé de chiffrement utilisée par les cybercriminels dans l'attaque.

Tout semblait bien se terminer ? Pas vraiment. Bien qu'utile, le précieux outil de déchiffrement est arrivé trop tard. En trois semaines, la majorité des entreprises victimes s'étaient déjà résignées à restaurer leurs systèmes informatiques à partir de leurs sauvegardes. Un processus long et coûteux, au cours duquel leur activité a certes continué de fonctionner mais au ralenti. Ce qui ne fut pas sans conséquence : victime de l'attaque, la chaîne de supermarchés scandinave Coop, qui avait dû fermer 700 magasins, n'a pu rouvrir en intégralité que 6 jours plus tard.

Lire aussi Cyberattaques : "une grande crise est possible et comporte un risque systémique" (Guillaume Poupard, ANSSI)

Pari perdant pour les autorités

C'est à ce moment-là que l'affaire devient croustillante. D'après le Washington Post, le FBI avait obtenu la précieuse clé de chiffrement dès les premiers jours qui ont suivi l'attaque. L'agence aurait réussi à saisir le serveur dans lequel les cybercriminels russes stockaient le précieux sésame. Problème : plutôt que de venir en aide immédiatement aux victimes, les autorités ont gardé l'information secrète pendant 3 semaines, dans l'espoir de monter une contre-attaque contre les infrastructures et les membres du gang. En vain.

Lire aussi Les hackers de Colonial Pipeline ont vu s'envoler plus de la moitié de la rançon grâce à la blockchain

Cette prise de risque n'a pas payé : les cybercriminels ont disparu de la circulation avant l'entrée en action des autorités. Résultat, les victimes ont payé les pots cassés de l'opération avortée. Et aujourd'hui, il ne reste plus que des questionnements : combien cette tentative a-t-elle coûté à l'ensemble des victimes ? La prise de risque était-elle justifiée ? En tout cas, lourde de conséquences pour les victimes, la décision du bureau fédéral d'investigation a été validée par d'autres agences américaines.

La clé des clés révélée ?

En attendant, le gang est passé à travers les mailles du filet. Mais il est passé à deux doigts de se faire coincer. Jeudi 16 septembre en effet, Bitdefender, une entreprise de cybersécurité, a publié un "décrypteur universel", un outil capable de déchiffrer tous les systèmes touchés par le rançongiciel du gang. Pour créer cet outil, le spécialiste de la cybersécurité a "collaboré" avec une agence américaine -autre que le FBI, d'après le Washington Post, qui était parvenu à récupérer la clé de déchiffrement de REvil. Autrement dit, son plus grand secret.

Là où la clé récupérée par Kaseya permettait seulement de réparer les dégâts subis par ses clients, celle obtenue par Bitdefender permet de réparer ceux de toutes les victimes de REvil depuis sa création en 2019. C'est le contre parfait contre le rançongiciel.

"Ce qu'il faut comprendre, c'est que les gangs comme REvil utilisent deux chiffrements. Un premier, rapide, avec une clé symétrique, puis un second plus long, avec une clé asymétrique", détaille à la Tribune Olivier Blazy, professeur à l'école Polytechnique. La clé symétrique permet de chiffrer les données de l'entreprise et d'ainsi les rendre inutilisables. La clé asymétrique, elle, va cacher la clé symétrique utilisée.

L'avantage de ce fonctionnement en deux étapes? Quand une entreprise paie REvil, le gang s'engage à fournir la clé symétrique, mais garde la clé asymétrique secrète. La victime peut ainsi déchiffrer son propre système, mais ne sera d'aucune aide aux autres victimes.

Cela signifie que la source de Bitdefender aurait donc obtenu la clé asymétrique de REvil, censée n'être connue que des cybercriminels. "Lorsqu'on obtient la clé asymétrique, on peut en quelque sorte ouvrir le cadenas qui protège les clés qui permettent d'ouvrir tous les autres cadenas", vulgarise Olivier Blazy.

REvil encore debout

La publication de Bitdefender aurait pu être le signe que les autorités avaient réussi à porter un coup fatal à REvil, en obtenant un de leurs secrets les mieux gardés. Mais contre toute attente, le gang a ressurgi début septembre, après deux mois sans donner signe de vie. Pis, il recommence à sévir. Pas moins de 8 victimes ont déjà été recensées. Pour accompagner leur retour, les cybercriminels ont tout simplement généré une nouvelle clé asymétrique, et délaissé l'ancienne. Résultat : l'outil de Bitdefender n'est d'aucune utilité contre les nouvelles victimes. Et le chiffrement du rançongiciel continue de plonger les entreprises dans un dilemme entre le paiement d'une rançon et la restauration onéreuse de leurs systèmes à partir des sauvegardes.

François Manens

6 mn

Sujets les + lus

|

Sujets les + commentés

Commentaire 1
à écrit le 23/09/2021 à 8:58
Signaler
Votre article est intéressant mais aurait dû dépasser le sensationnel en investigabt sur l identité de ce « gang » ou il est localisé qui le soutient quel état sert-il …

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.