Cela fait un mois que les réseaux de la ville de Baltimore ont été paralysés suite à une attaque par ransomware. Le 7 mai, des pirates informatiques ont verrouillé les données d’environ 10 000 ordinateurs du gouvernement à Baltimore et ont exigé environ 100 000 USD de rançon en bitcoins pour les restituer.
L’attaque du ransomware s’est produite en pleine transition à l’hôtel de ville. Le maire Bernard C. «Jack» Young a officiellement pris ses fonctions quelques jours avant l'attaque, après la démission de l'ancienne maire Catherine Pugh, qui fait actuellement l'objet d'une enquête pour corruption. Et certains postes critiques du personnel du maire sont restés vacants - la chef de cabinet adjointe aux opérations du maire, Sheryl Goldstein, a commencé à travailler lundi 20 mai 2019.
Baltimore, comme plusieurs autres villes touchées par de telles attaques ces deux dernières années, a refusé de payer la rançon. Par conséquent, pendant un mois, la ville a dû mettre progressivement en place des solutions manuelles étant donné que les fonctionnaires et les citoyens n’avaient plus accès à certains services essentiels, notamment les sites Web sur lesquels ils paient leurs factures d'eau, leurs taxes foncières et leurs contraventions de stationnement.
Un retour à la normale qui va coûter 10 millions de dollars
Mardi, le maire Bernard C. «Jack» Young et son cabinet ont informé la presse sur l'état d'avancement du retour à la normale qui, selon le directeur des finances de la ville, va coûter 10 millions de dollars à Baltimore, sans compter les 8 millions de dollars perdus en raison de revenus différés / non acquis (acompte enregistré sur la balance du client comme une dette jusqu'à ce que les services aient été rendus ou que les produits aient été livrés) ou perdus à cause de l’incapacité de la ville à traiter les paiements.
La reprise en est encore à ses débuts : moins du tiers des employés de la ville ont déjà reçu de nouveaux identifiants de connexion et de nombreuses fonctions commerciales de la ville se limitent aux solutions de contournement sur papier.
« Tous les services de la ville restent ouverts et Baltimore est ouverte aux affaires », a déclaré le maire pendant cette réunion, énumérant les services essentiels qui avaient continué de fonctionner pendant la panne du réseau. Le directeur des finances de la ville, Henry Raymond, a déclaré que l'état actuel des systèmes n’était « pas idéal, mais gérable ». Il faisait notamment référence au fait que les services de messagerie électronique (e-mails) et les services téléphoniques ont été restaurés, de nombreux systèmes sont restés en ligne, mais les systèmes de traitement des paiements et autres outils utilisés pour traiter les transactions avec la ville demeurent en mode de contournement manuel.
Le directeur du Département des travaux publics, Rudy Chow, a averti les habitants de s’attendre à une facture d’eau plus importante que la normale à l’avenir, car les compteurs intelligents et le système de facturation de l’eau de la ville sont toujours hors ligne et aucune facture ne peut être générée.
Les tickets de stationnement et les tickets générés par les caméras de surveillance, notamment suite aux excès de vitesse ou après avoir grillé un feu rouge, peuvent être payés en personne si le ticket est sous forme papier. La ville a récupéré les données pour toutes les violations de stationnement et autres violations générées par les caméras de surveillance jusqu'au 4 mai, mais elle n'a toujours pas la possibilité de rechercher les violations sans ticket papier ou de traiter les paiements électroniquement, ont déclaré des responsables de la ville. Il en va de même pour de nombreuses autres interactions avec la ville, qui nécessitent actuellement l'envoi de documents papier par la poste ainsi que des solutions manuelles.
Les employés municipaux sont tenus de se présenter en personne pour recevoir les nouveaux identifiants de réseau et de courrier électronique, en présentant un identifiant de ville avant d’être autorisés à obtenir de nouveaux mots de passe. Avec plus de 10 000 employés municipaux devant suivre le processus et dispersés dans des bureaux situés aux quatre coins de la ville, Sheryl Goldstein, chef du personnel du maire, chargée des opérations, a déclaré que même s'il s'agissait d'un processus fastidieux, le Bureau de la technologie de l'information de la ville de Baltimore ( BCIT) travaillait jour et nuit pour y arriver. « La réauthentification des utilisateurs a été un gros effort depuis la semaine dernière », a-t-elle déclaré, ajoutant que la plupart des employés de la ville devraient voir leurs identifiants de connexion réinitialisés d'ici la fin de la semaine.
Le FBI a dissuadé la ville de payer la rançon et s’est dit prêt à participer financièrement au retour à la normale
En dépit de la facture croissante liée à la reprise, Goldstein a noté que la ville avait été découragée de payer la rançon par le Federal Bureau of Investigation. « Même si vous payez, vous devez toujours vous connecter à votre système et vous assurer qu'ils en sont sortis », a expliqué le FBI. « Vous ne pouvez pas simplement le restaurer et croire qu’ils n’y sont plus … nous allons assumer une grande partie de ces coûts, indépendamment des frais ».
Selon des responsables municipaux, le service informatique de Baltimore aurait déjà acheté plus de 1 million de dollars de nouveaux matériels à Dell dans le cadre d'un contrat existant. Et en utilisant un contrat de personnel provisoire, la ville a commencé à faire venir des travailleurs temporaires pour aider à la suppression des logiciels malveillants. Il n’est pas précisé si le coût de cette main-d'œuvre a été entièrement pris en compte dans les 10 millions de dollars que Raymond aurait dépensés pour le retour à la normale.
Certains de ces travailleurs temporaires constituant « l'équipe du retour à la normale » de la ville se sont présentés au travail lundi. Cet effort se poursuit parallèlement aux efforts de criminalistique du BCIT, du FBI et des consultants recrutés par la ville, dont beaucoup ont conclu des contrats d'urgence qui n'ont pas encore été rendus publics par le biais du service des achats de la ville et du Board of Estimates. Selon Goldstein, une analyse de cette ampleur peut prendre des mois, puis la ville va s’entendre avec le FBI et d'autres agences afin de déterminer ce qui peut être divulgué publiquement au sujet de l'attaque, étant donné qu'elle est liée à une enquête criminelle fédérale.
Des coûts qui peuvent être plus élevés
De plus, il n'a pas été question d'autres coûts cachés potentiels auxquels la ville pourrait être confrontée à la suite de la violation de données liée à l'attaque par ransomware. En effet, un compte Twitter connecté à l’opérateur de ransomware a publié des documents pris sur un serveur de fichiers de la ville de Baltimore comme preuve de compromission, y compris des documents provenant de poursuites en cours contre la ville. Ces documents comprenaient des données d'identification personnelles, des données sur la santé et d'autres informations sensibles. Ce coût pourrait en fin de compte être substantiel, bien que le coût puisse être supporté par les citoyens eux-mêmes, sous la forme de vol d'identité et d'autres fraudes.
Selon une étude du fournisseur de services de collaboration sécurisée Egnyte, le coût associé à une violation de données s'élève en moyenne à 148 $ par enregistrement perdu. Kris Lahiri, cofondateur et responsable de la sécurité de l'information chez Egnyte, explique que « Bien qu'il soit difficile de déterminer un coût exact sans connaître plus de détails sur leurs données, nous savons que Baltimore compte plus de 600 000 habitants. Par conséquent, si 25% de leurs archives étaient enfreintes, cela entraînerait un coût de 22 millions de dollars - bien au-dessus des 10 millions de dollars estimés ».
Quant à la question de savoir si les hackers se sont servis du logiciel de la NSA EternalBlue comme cela a été le cas de WannaCry, ils ont répondu « absolument pas ». Le compte a été supprimé par twitter 3 juin.
Source : FàQ sur le site de la ville, journal local, Egnyte
Voir aussi :
Les attaques de ransomware contre les entreprises ont augmenté de plus de 500% au premier trimestre, d'après un rapport de Malwarebytes
Symantec : le formjacking constitue la nouvelle forme d'attaque utilisée par les pirates pour s'enrichir encore plus vite qu'avec les ransomwares
Une entreprise prétend déverrouiller les fichiers de ses clients victimes de ransomwares mais paie la rançon, en se faisant une grosse marge
Un ransomware portant le nom de Barack Obama cible seulement les fichiers .EXE et verrouille même les fichiers de Windows
Baltimore : le retour à la normale après l'attaque par ransomware va coûter plus de 18 millions de dollars
L'addition pourrait être plus salée
Baltimore : le retour à la normale après l'attaque par ransomware va coûter plus de 18 millions de dollars
L'addition pourrait être plus salée
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !