Cyberattaque Kaseya : le coup de poker manqué du FBI contre le terrible gang REvil
Ce contenu est réservé aux abonnés La Tribune

Photo d'illustration
DR
Ce contenu est réservé aux abonnés La Tribune

Photo d'illustration
DR
... imes ont perdu beaucoup d'argent. Explications.
Le feuilleton cyber de l'été 2021 livre-t-il enfin son dénouement ? Le 2 juillet, à peine quelques mois après la cyberattaque qui avait frappé les oléoducs de Colonial Pipeline, les autorités américaines s'étaient mobilisées en urgence face à une nouvelle cyberattaque, d'une ampleur inédite. Le gang REvil avait réussi à exploiter une faille informatique jusqu'ici inconnue, présente sur VSA, le logiciel phare de l'entreprise floridienne Kaseya.
Les cybercriminels ont employé cet angle d'attaque exclusif pour déployer leur rançongiciel, un logiciel malveillant capable de paralyser n'importe quel système informatique, sur des milliers d'ordinateurs. Le logiciel vulnérable de Kaseya était notamment utilisé par des entreprises spécialisées dans l'infogérance, c'est-à-dire dans la gestion du parc informatique d'autres sociétés. Autrement dit, grâce à une seule faille, les hackers ont pu s'infiltrer sur les systèmes de dizaines de clients de Kaseya -54, d'après la dernière estimation de l'entreprise-, ce qui leur a permis de toucher entre 800 et 1.500 entreprises, qui ne sont que finalement que des clients de clients de Kaseya.
Comme à leur habitude, les hackers exigeaient de la part des victimes le paiement d'une rançon en échange de la clé de chiffrement nécessaire pour réparer les dégâts de l'attaque.
À lire également
Mais dix jours plus tard, le 12 juillet donc, l'affaire, qui était remontée au plus haut niveau du pouvoir américain, avait pris un tournant étrange. REvil avait effacé d'Internet toute trace de son existence avant même que les autorités ne parviennent à remonter au cœur de l'organisation. Et encore neuf jours plus tard, Kaseya présentait à ses clients un outil capable de déchiffrer tout système touché par l'attaque, et donc de résoudre le problème. Comment? L'entreprise expliquait alors qu'un "parti tiers" lui avait fourni la clé de chiffrement utilisée par les cybercriminels dans l'attaque.