Blog WatchGuard

Un dispositif d’authentification multifacteur sécurisé aurait permis d’éviter la cyberattaque de Colonial Pipeline

En mai dernier, l’oléoduc Colonial, qui transporte du pétrole sur 5 500 km du sud à l’est des États-Unis, a été touché par une cyberattaque de grande ampleur visant les infrastructures d’approvisionnement en pétrole en Amérique du Nord. Les cybercriminels du groupe DarkSide ont réussi à accéder aux systèmes de l’entreprise à l’aide d’un ransomware avec lequel ils ont volé et bloqué 100 Go de données.

Cet incident a eu plusieurs conséquences : la première, qui est aussi la plus directe, a été que la société a été contrainte d’interrompre temporairement l’approvisionnement de l’oléoduc jusqu’à ce que ses systèmes informatiques soient rétablis. Cette perturbation a entraîné des pénuries de carburant qui ont affecté les sociétés de transport et même l’aéroport international Charlotte-Douglas en Caroline du Nord.

Ensuite, elle a eu un impact plus profond dans la mesure où elle a généré une réponse directe de la Maison Blanche : le président des États-Unis a dû faire face à l’incident en déclarant l’état d’urgence dans la zone touchée. Et au-delà, elle a également fourni un argument pour son récent « Ordre exécutif relatif à l’amélioration de la cybersécurité de la nation. »  

Lorsque l’Ordre Exécutif a été publié en mai, nous avons mis en exergue au sein d'un billet de blog que, bien qu’il aborde de multiples domaines de la cybersécurité, l’adoption d’une approche « Zero-Trust » et l’authentification multifacteur sont deux aspects qui revêtent une importance considérable. Et cette dernière a joué un rôle particulièrement important dans la cyberattaque de Colonial.

VPN non sécurisé

Des enquêtes approfondies laissent penser que le vecteur d’entrée utilisé par le groupe DarkSide pour introduire son malware était le réseau VPN de Colonial. Il convient de noter que, en raison de l’augmentation de l’utilisation faite par les utilisateurs travaillant à domicile pendant la pandémie, les VPN sont devenus une cible plus fréquente pour les hackers.

Les analystes pensent qu’ils ont obtenu l’accès grâce à des mots de passe précédemment divulgués et publiés sur le Dark Web. Ils estiment qu’un seul des mots de passe ayant fait l’objet d’une fuite aurait pu suffire pour obtenir un accès, car aucun d’entre eux n’était protégé par un dispositif d’authentification multifacteur. Cette double vérification (via un appareil mobile ou d’autres méthodes) aurait considérablement réduit les risques qu’un mot de passe encore actif, comme ceux qui ont fait l’objet de la fuite, soit utilisé par une personne extérieure à l’entreprise.

D’autre part, malgré l’accès obtenu aux systèmes IT pour introduire le ransomware, les analystes n’ont trouvé aucune preuve qu’ils pouvaient atteindre les systèmes OT qui contrôlent directement les installations industrielles. Cela n’enlève rien à la gravité de l’incident, car, bien qu’il ne s’agissait pas de l’objectif initial des hackers, les opérations ont dans la pratique été affectées.

L'authentification multifacteur : essentielle pour les infrastructures critiques

Colonial n’est pas la seule organisation dont les infrastructures critiques ont été touchées par une cyberattaque de grande ampleur cette année mais c’est l’incident qui a eu les plus grandes répercussions. Elle a également mis en évidence les lacunes du secteur en matière de cybersécurité dans des domaines tels que le contrôle des autorisations d’accès.

Les MSP et les équipes informatiques doivent donc mettre en œuvre une politique rigoureuse en matière de mots de passe d’accès aux infrastructures critiques, qui doit couvrir tous les systèmes et inclure une authentification multifacteur sécurisée pour chacun d’entre eux. Il n’est en effet pas facile pour les équipes de gérer l’ensemble des autorisations, des mots de passe et des authentifications pour un grand nombre d’employés en utilisant des méthodes ou des solutions logicielles traditionnelles.

WatchGuard AuthPoint supprime toutes ces difficultés car la solution peut être gérée très facilement depuis WatchGuard Cloud. Son interface permet de voir les accès aux systèmes d’un seul coup d’œil et de gérer très simplement les rôles et les autorisations pour chaque employé. En outre, elle propose plusieurs types sécurisés d’authentification multifacteur, allant de l’application mobile protégée par un système unique d’ADN Mobile aux tokens matériels. Elle s’adapte aux besoins spécifiques de chaque organisation, lui permettant d’éviter d’avoir à souffrir d’incidents aussi graves que celle qui a mis à mal Colonial.