{"id":11536,"date":"2019-03-21T13:14:55","date_gmt":"2019-03-21T13:14:55","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=11536"},"modified":"2019-11-22T08:53:18","modified_gmt":"2019-11-22T08:53:18","slug":"hydro-attacked-by-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/hydro-attacked-by-ransomware\/11536\/","title":{"rendered":"Le g\u00e9ant de l’aluminium Hydro victime d’un ransomware"},"content":{"rendered":"

Nous avons d\u00e9crit de nombreux incidents ces derni\u00e8res ann\u00e9es, et il s\u2019agissait notamment de ransomwares qui prennent pour cible certaines entreprises comme les h\u00f4pitaux<\/a>, les transports en commun<\/a>, voire les ordinateurs du gouvernement de tout un d\u00e9partement<\/a>. Puis les wipers sont apparus avec des \u00e9pid\u00e9mies comme WannaCry<\/a>, ExPetr<\/a> et Bad Rabbit<\/a> qui se sont r\u00e9pandues dans les monde entier, et ont ruin\u00e9 les op\u00e9rations de nombreuses entreprises.<\/p>\n

Heureusement, nous n\u2019avons pas constat\u00e9 d\u2019\u00e9v\u00e9nement d\u2019une telle ampleur au cours de ces 12 derniers mois, mais cela ne signifie pas pour autant que les malfaiteurs ont jet\u00e9 l\u2019\u00e9ponge. Le 19 mars, un de plus grands producteurs norv\u00e9giens d\u2019aluminium au monde, Hydro, a communiqu\u00e9 avoir \u00e9t\u00e9 victime d\u2019un ransomware<\/a> qui a affect\u00e9 toute l\u2019entreprise.<\/p>\n

Attaque de Hydro : ce qu\u2019il s\u2019est pass\u00e9<\/strong><\/p>\n

Selon les dires du porte-parole de Hydro, qui est intervenu lors d\u2019une conf\u00e9rence de presse, l\u2019\u00e9quipe de s\u00e9curit\u00e9 a d\u2019abord remarqu\u00e9 une activit\u00e9 inhabituelle sur les serveurs de l\u2019entreprise vers minuit. Ils ont observ\u00e9 que l\u2019infection \u00e9tait en train de se r\u00e9pandre, et ont essay\u00e9 de la contenir. Ils n\u2019y sont arriv\u00e9s que partiellement. Le r\u00e9seau global a \u00e9t\u00e9 infect\u00e9 pendant qu\u2019ils isolaient les usines. Hydro n\u2019a pas indiqu\u00e9 combien d\u2019ordinateurs ont \u00e9t\u00e9 touch\u00e9s, mais avec plus de 35 000 employ\u00e9s, nous pouvons penser que ce chiffre est assez \u00e9lev\u00e9.<\/p>\n

L\u2019\u00e9quipe de Hydro travaille 24 heures sur 24, et 7 jours sur 7 pour r\u00e9soudre cet incident, et elle a en partie r\u00e9ussi pour le moment. Les centrales \u00e9lectriques n\u2019ont pas du tout \u00e9t\u00e9 affect\u00e9es parce qu\u2019elles ont \u00e9t\u00e9 isol\u00e9es du r\u00e9seau principal, ce qui est la meilleure m\u00e9thode pour une infrastructure critique. En revanche, les fonderies n\u2019ont pas \u00e9t\u00e9 isol\u00e9es et elles ont \u00e9t\u00e9 de plus en plus automatis\u00e9es au cours de ces derni\u00e8res ann\u00e9es. Certaines usines de fonte qui se trouvent en Norv\u00e8ge ont \u00e9t\u00e9 affect\u00e9es, et l\u2019\u00e9quipe a r\u00e9ussi \u00e0 en rendre certaines totalement op\u00e9rationnelles, m\u00eame si elles utilisent d\u00e9sormais un mode plus lent et \u00e0 moiti\u00e9 manuel. Pourtant, comme Hydro l\u2019a dit<\/a>, \u00ab\u00a0l\u2019incapacit\u00e9 \u00e0 nous connecter aux syst\u00e8mes de production a engendr\u00e9 des probl\u00e8mes de production et des arr\u00eats temporaires dans plusieurs usines\u00a0\u00bb.<\/p>\n

Malgr\u00e9 l\u2019ampleur de l\u2019attaque, les op\u00e9rations de Hydro n\u2019ont pas \u00e9t\u00e9 compl\u00e8tement d\u00e9truites. M\u00eame si les ordinateurs Windows ont \u00e9t\u00e9 chiffr\u00e9s et rendus compl\u00e8tement inutiles, les t\u00e9l\u00e9phones et tablettes qui ne sont pas sous Windows fonctionnent encore, ce qui permet aux employ\u00e9s de communiquer et de r\u00e9pondre aux besoins des entreprises. Il semblerait que l\u2019infrastructure critique co\u00fbteuse, comme les cuves qui servent \u00e0 produire l\u2019aluminium et co\u00fbtent pr\u00e8s de 10 millions d\u2019euros chacune, n\u2019ait pas \u00e9t\u00e9 touch\u00e9e par l\u2019attaque. Cet incident de s\u00e9curit\u00e9 n\u2019a pas caus\u00e9 de victime, ni de probl\u00e8me de s\u00e9curit\u00e9. Hydro esp\u00e8re pouvoir r\u00e9cup\u00e9rer toutes les donn\u00e9es ayant \u00e9t\u00e9 affect\u00e9es gr\u00e2ce aux sauvegardes.<\/p>\n

Analyse : aspects positifs et n\u00e9gatifs<\/strong><\/p>\n

Hydro a encore beaucoup de chemin \u00e0 parcourir avant de r\u00e9tablir compl\u00e8tement le fonctionnement de toutes ses op\u00e9rations. Enqu\u00eater sur cet incident va demander beaucoup de temps et d\u2019effort de la part d\u2019Hydro et du gouvernement norv\u00e9gien. Il n\u2019y a pour l\u2019instant aucun consensus sur l\u2019identit\u00e9 du ransomware utilis\u00e9 pour r\u00e9aliser cette attaque, ou sur l\u2019identit\u00e9 de la personne qui en serait \u00e0 l\u2019origine.<\/p>\n

Les autorit\u00e9s disent avoir plusieurs hypoth\u00e8ses. Elles pensent, par exemple, que l\u2019entreprise Hydro a \u00e9t\u00e9 attaqu\u00e9e par le ransomware LockerGoga. Bleeping Computer le d\u00e9crit<\/a> comme \u00ab\u00a0lent\u00a0\u00bb (nos analystes sont d\u2019accord avec cette description) et \u00ab\u00a0d\u00e9sordonn\u00e9\u00a0\u00bb, et ajoute qu\u2019il \u00ab\u00a0ne fait aucun effort pour \u00e9viter d\u2019\u00eatre d\u00e9tect\u00e9\u00a0\u00bb. La demande de ran\u00e7on ne mentionnait pas la somme exacte que les malfaiteurs souhaitaient recevoir pour d\u00e9chiffrer les ordinateurs, mais partageaient une adresse que les victimes devaient contacter.<\/p>\n

M\u00eame si l\u2019analyse de l\u2019incident n\u2019est pas encore termin\u00e9e, nous pouvons d\u00e9j\u00e0 voir ce que Hydro a bien fait et mal fait, avant et pendant l\u2019incident.<\/p>\n

Aspects positifs :<\/strong><\/p>\n

    \n
  1. Les centrales \u00e9lectriques ont \u00e9t\u00e9 isol\u00e9es du r\u00e9seau principal, et c\u2019est pourquoi elles n\u2019ont pas \u00e9t\u00e9 affect\u00e9es.<\/li>\n
  2. L\u2019\u00e9quipe de s\u00e9curit\u00e9 a pu isoler les fonderies assez rapidement, ce qui leur a permis de continuer \u00e0 produire (\u00e0 moiti\u00e9 en mode manuel dans la plupart des cas).<\/li>\n
  3. Le personnel pouvait communiquer normalement m\u00eame apr\u00e8s l\u2019incident. Cela signifie probablement que le serveur de communication \u00e9tait suffisamment bien prot\u00e9g\u00e9 pour \u00e9viter d\u2019\u00eatre touch\u00e9 par l\u2019infection.<\/li>\n
  4. Hydro a des sauvegardes qui devrait permettre \u00e0 l\u2019entreprise de r\u00e9cup\u00e9rer les donn\u00e9es chiffrer et de poursuivre ses activit\u00e9s.<\/li>\n
  5. Hydro a une cyberassurance qui devrait couvrir une partie des co\u00fbts engendr\u00e9s par cet incident.<\/li>\n<\/ol>\n

    Aspects n\u00e9gatifs :<\/strong><\/p>\n

      \n
    1. Le r\u00e9seau n\u2019avait probablement pas \u00e9t\u00e9 segment\u00e9 correctement, sinon il aurait \u00e9t\u00e9 beaucoup plus facile d\u2019arr\u00eater la propagation du ransomware et de confiner l\u2019attaque.<\/li>\n
    2. La solution de s\u00e9curit\u00e9 utilis\u00e9e par Hydro n\u2019\u00e9tait pas assez forte pour attraper le ransomware. M\u00eame s\u2019il assez r\u00e9cent, LockerGoga est bien connu et Kaspersky Security, par exemple, le conna\u00eet comme Trojan-Ransom.Win32.Crypgen.afbf.<\/li>\n
    3. Ils auraient pu compl\u00e9ter leur solution de s\u00e9curit\u00e9 en installant un logiciel anti ransomware, comme notre programme gratuit Kaspersky Anti-Ransomware Tool. Il peut \u00eatre install\u00e9 en association avec d\u2019autres solutions de s\u00e9curit\u00e9, et peut prot\u00e9ger le syst\u00e8me de n\u2019importe quel ransomware, mineurs, ou autres programmes malveillants.<\/li>\n<\/ol>\n

      \u00a0<\/p>\n\n","protected":false},"excerpt":{"rendered":"

      Le g\u00e9ant industriel norv\u00e9gien Hydro a \u00e9t\u00e9 victime d\u2019un ransomware. Analyse de cet incident de s\u00e9curit\u00e9.<\/p>\n","protected":false},"author":675,"featured_media":11537,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[316,795,353,2184,23],"class_list":{"0":"post-11536","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-chiffrement","9":"tag-infrastructure-critique","10":"tag-ransomware","11":"tag-wannacry","12":"tag-windows"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/hydro-attacked-by-ransomware\/11536\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/hydro-attacked-by-ransomware\/15429\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/hydro-attacked-by-ransomware\/12994\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/hydro-attacked-by-ransomware\/17373\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/hydro-attacked-by-ransomware\/15522\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/hydro-attacked-by-ransomware\/14211\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/hydro-attacked-by-ransomware\/18059\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/hydro-attacked-by-ransomware\/17052\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/hydro-attacked-by-ransomware\/22421\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/hydro-attacked-by-ransomware\/5803\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/hydro-attacked-by-ransomware\/26028\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/hydro-attacked-by-ransomware\/11603\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/hydro-attacked-by-ransomware\/10489\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/hydro-attacked-by-ransomware\/18804\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/hydro-attacked-by-ransomware\/22817\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/hydro-attacked-by-ransomware\/23880\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/hydro-attacked-by-ransomware\/18119\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/hydro-attacked-by-ransomware\/22304\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/hydro-attacked-by-ransomware\/22236\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/ransomware\/","name":"ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11536","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/675"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=11536"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11536\/revisions"}],"predecessor-version":[{"id":12701,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/11536\/revisions\/12701"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/11537"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=11536"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=11536"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=11536"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}