Si 2020 était l’année du piratage pandémique de verrouillage, 2021 était une saison ouverte pour les attaquants du monde entier. Les gangs de ransomware étaient incroyablement agressifs, ciblant les établissements de santé, les écoles et les infrastructures critiques à un rythme alarmant. Et les pirates ont continué à lancer des attaques de chaîne d’approvisionnement avec des retombées importantes. Alors que la pandémie faisait toujours rage en arrière-plan, les administrateurs système, les intervenants en cas d’incident, les forces de l’ordre mondiales et les professionnels de la sécurité de toutes sortes ont travaillé sans relâche pour contrer le barrage. Et les gouvernements se sont empressés de prendre des mesures plus concrètes contre les menaces en ligne.
Pour l’instant, cependant, le jeu du chat et de la souris apparemment sans fin continue. Comme le dit John Scott-Railton, chercheur principal au Citizen Lab de l’Université de Toronto, « 2021 est l’année où nous réalisons que les problèmes que nous avons choisi de ne pas résoudre il y a des années ou des décennies reviennent un à un nous hanter. «
Voici la rétrospective de WIRED sur les pires violations, fuites, expositions de données, attaques de ransomware, campagnes de piratage parrainées par l’État et chaos numérique de l’année. En l’absence de signe de sursis en 2022, surveillez vos arrières et restez en sécurité là-bas.
Début mai, un ransomware a frappé Colonial Pipeline, qui exploite un pipeline de 5 500 milles qui transporte près de la moitié du carburant de la côte est (essence, diesel et gaz naturel) du Texas jusqu’au New Jersey. À la suite de l’attaque, l’entreprise a fermé des parties du pipeline à la fois pour contenir le logiciel malveillant et parce que l’attaque a mis ses systèmes de facturation hors ligne. Alors que les lignes se développaient dans les stations-service du sud-est des États-Unis, le ministère des Transports a publié une ordonnance d’urgence pour permettre une distribution accrue de carburant par camion. Le FBI a également nommé le célèbre gang de rançongiciels lié à la Russie DarkSide comme l’auteur de l’attaque.
Colonial Pipelines a payé une rançon de 75 bitcoins, d’une valeur de plus de 4 millions de dollars à l’époque, pour tenter de résoudre l’incident. Les forces de l’ordre ont ensuite pu récupérer une partie des fonds et DarkSide est entré dans la clandestinité pour éviter tout examen minutieux. En novembre, le département d’État a annoncé une prime de 10 millions de dollars pour des informations de fond sur les meneurs du groupe. L’attaque a été l’une des perturbations les plus importantes jamais causées par des pirates informatiques aux infrastructures critiques américaines, et faisait partie d’une série de piratages alarmants en 2021 qui semblent finalement avoir servi de sonnette d’alarme au gouvernement américain et à ses alliés sur la nécessité de adresser et dissuader les attaques de ransomware.
La vague de piratage de SolarWinds a été l’attaque de chaîne d’approvisionnement logicielle la plus mémorable de 2020 et 2021, mais le compromis de la société de logiciels de gestion informatique Kaseya a été un autre ajout important aux annales d’attaque de la chaîne d’approvisionnement de cette année. Début juillet, des pirates informatiques associés au gang de rançongiciels basé en Russie REvil ont exploité une faille dans l’outil Virtual System Administrator de Kaseya. VSA est populaire parmi les fournisseurs de services gérés, les entreprises qui gèrent une infrastructure informatique pour des organisations qui ne veulent pas le faire elles-mêmes. Grâce à cet écosystème interdépendant, les attaquants ont pu exploiter la faille de VSA pour infecter jusqu’à 1 500 organisations dans le monde avec des ransomwares. REvil a fixé des rançons d’environ 45 000 $ pour de nombreuses victimes en aval et jusqu’à 5 millions de dollars pour les fournisseurs de services gérés eux-mêmes. Le gang a également proposé de publier un outil de décryptage universel pour environ 70 millions de dollars. Mais ensuite, le gang des ransomwares a disparu, laissant tout le monde dans le noir. Fin juillet, Kaseya a acquis un décrypteur universel et a commencé à le distribuer à des cibles. Début novembre, le ministère américain de la Justice a annoncé avoir arrêté l’un des principaux auteurs présumés de l’attentat de Kaseya, un ressortissant ukrainien appréhendé en octobre et actuellement en attente d’extradition de Pologne.
Le service de diffusion en direct Twitch, qui appartient à Amazon, a confirmé qu’il avait été violé en octobre après qu’une entité inconnue a publié un trésor de 128 Go de données propriétaires volées à l’entreprise. La violation comprenait le code source complet de Twitch. La société a déclaré à l’époque que l’incident était le résultat d’un « changement de configuration du serveur qui a permis un accès inapproprié par un tiers non autorisé ». Twitch a nié que des mots de passe aient été exposés dans la violation, mais a reconnu que des informations sur les revenus des streamers individuels avaient été volées. En plus du code source lui-même et des données de paiement des streamers depuis 2019, le trésor contenait également des informations sur les systèmes internes Twitch Amazon Web Services et les SDK propriétaires.
À la suite de la frénésie d’espionnage numérique de SolarWinds en Russie, le groupe de piratage informatique soutenu par l’État chinois connu sous le nom de Hafnium s’est effondré. En exploitant un groupe de vulnérabilités dans le logiciel Exchange Server de Microsoft, ils ont compromis les boîtes de réception de courrier électronique des cibles et leurs organisations plus largement. Les attaques ont touché des dizaines de milliers d’entités à travers les États-Unis à partir de janvier et avec une intensité particulière les premiers jours de mars. Les piratages ont touché de nombreuses victimes, notamment des petites entreprises et des gouvernements locaux. Et la campagne a également touché un nombre important d’organisations en dehors des États-Unis, comme le Parlement norvégien et l’Autorité bancaire européenne. Microsoft a publié des correctifs d’urgence le 2 mars pour corriger les vulnérabilités, mais la vague de piratage était déjà en marche et de nombreuses organisations ont pris des jours ou des semaines pour installer les correctifs, si elles le faisaient.
Le développeur de logiciels espions israélien NSO Group est de plus en plus le visage de l’industrie de la surveillance ciblée, car ses outils de piratage sont utilisés par de plus en plus de clients autocratiques à travers le monde. La plate-forme de communication WhatsApp a poursuivi NSO en 2019 et Apple a emboîté le pas cette année en novembre, après une série de révélations selon lesquelles NSO a créé des outils pour infecter les cibles iOS avec son logiciel espion phare Pegasus en exploitant les failles de la plate-forme de communication iMessage d’Apple. En juillet, un groupe international de chercheurs et de journalistes d’Amnesty International, de Forbidden Stories et de plus d’une douzaine d’autres organisations ont publié des preuves médico-légales qu’un certain nombre de gouvernements dans le monde, dont la Hongrie, l’Inde, le Mexique, le Maroc, l’Arabie saoudite et les États-Unis Emirates, peut-être des clients NSO. Les chercheurs ont étudié une liste divulguée de 50 000 numéros de téléphone associés à des militants, des journalistes, des cadres et des politiciens qui étaient tous des cibles potentielles de surveillance. NSO Group a réfuté ces allégations. En décembre, les chercheurs de Google ont conclu que la sophistication des logiciels malveillants NSO était comparable à celle des pirates informatiques d’élite des États-nations.
JBS SA, la plus grande entreprise de transformation de viande au monde, a subi une attaque de ransomware majeure fin mai. Sa filiale JBS USA a déclaré dans un communiqué début juin qu' »elle était la cible d’une attaque de cybersécurité organisée, affectant certains des serveurs supportant ses systèmes informatiques nord-américains et australiens ». JBS a son siège au Brésil et compte environ un quart de million d’employés dans le monde. Bien que ses sauvegardes soient intactes, JBS USA a été contraint de mettre hors ligne les systèmes concernés et a travaillé frénétiquement avec les forces de l’ordre et une entreprise extérieure d’intervention en cas d’incident pour redresser le navire. Les installations de JBS en Australie, aux États-Unis et au Canada ont été perturbées et l’attaque a provoqué une cascade d’impacts dans l’industrie de la viande, entraînant des fermetures d’usines, des employés renvoyés chez eux et du bétail devant être rendu aux agriculteurs. L’incident est survenu quelques semaines seulement après l’attaque du pipeline colonial, soulignant la fragilité des infrastructures critiques et des chaînes d’approvisionnement mondiales vitales.
Le fournisseur de pare-feu Accellion a publié un correctif fin décembre, puis d’autres correctifs en janvier, pour remédier à un groupe de vulnérabilités dans l’une de ses offres d’équipement réseau. Cependant, les correctifs ne sont pas arrivés ou n’ont pas été installés assez rapidement pour des dizaines d’organisations dans le monde. Beaucoup ont subi des violations de données et ont fait face à des tentatives d’extorsion en raison des vulnérabilités. Les pirates informatiques à l’origine de la frénésie semblaient avoir des liens avec le groupe de crimes financiers FIN11 et le gang de ransomware Clop. Les victimes comprenaient la Banque de réserve de Nouvelle-Zélande, l’État de Washington, la Commission australienne des valeurs mobilières et des investissements, la société de cybersécurité Qualys, la société de télécommunications singapourienne Singtel, le cabinet d’avocats de premier plan Jones Day, la chaîne d’épiceries Kroger et l’Université du Colorado. .
Tout ce qui était ancien était à nouveau nouveau en 2021, car un certain nombre d’entreprises déjà connues pour leurs violations de données passées en ont subi de nouvelles cette année. L’opérateur sans fil T-Mobile a admis en août que les données de plus de 48 millions de personnes avaient été compromises lors d’une violation ce mois-ci. Parmi ceux-ci, plus de 40 millions de victimes n’étaient même pas des abonnés actuels de T-Mobile, mais plutôt des clients anciens ou potentiels qui avaient demandé un crédit auprès de l’entreprise. Les autres étaient pour la plupart des clients « postpayés » actifs qui sont facturés à la fin de chaque cycle au lieu du début. Les victimes se sont fait voler leurs noms, dates de naissance, numéros de sécurité sociale et détails de leur permis de conduire. De plus, 850 000 clients sur des forfaits prépayés ont vu leurs noms, numéros de téléphone et codes PIN pris dans la brèche. La situation était particulièrement absurde, car T-Mobile a connu deux brèches en 2020, une en 2019 et une autre en 2018.
Un autre récidiviste était la chaîne de grands magasins Neiman Marcus, qui avait volé les données d’environ 4,6 millions de clients lors d’une violation en mai 2020. La société a divulgué l’incident en octobre, qui a révélé les noms, adresses et autres informations de contact des victimes, ainsi que les informations de connexion et les questions/réponses de sécurité des comptes en ligne Neiman Marcus, les numéros de carte de crédit et les dates d’expiration et les numéros de carte-cadeau. Neiman Marcus a subi une violation de données en 2014 au cours de laquelle des attaquants ont volé les données de carte de crédit de 1,1 million de clients en trois mois.
Plus de belles histoires WIRED