(New York) De San Antonio à Atlanta en passant par Greenville, en Caroline du Nord, les villes américaines sont de plus en plus souvent visées par des pirates informatiques. Et si la plupart d’entre elles refusent de verser des rançons pouvant atteindre plus de 100 000 $, la mésaventure peut finir par leur coûter des millions.

Le dernier cas en date est celui de Baltimore. Le 7 mai dernier, des pirates anonymes ont pris en otage ses données à l’aide du rançongiciel RobinHood. Ils ont réclamé en vain 13 bitcoins, soit environ 130 000 $US, pour déverrouiller les fichiers informatiques de la municipalité de 600 000 habitants.

Vingt-deux jours plus tard, la Ville a annoncé le coût de cette cyberattaque : au moins 18,2 millions. La somme n’inclut pas seulement les revenus perdus ou reportés, mais également le coût de la reconstruction du système informatique, qui prendra des mois.

Baltimore n’aurait-elle pas pu économiser énormément de temps et d’argent en acceptant de verser la rançon demandée par les pirates ? Depuis le début de l’année, plus de 20 municipalités américaines ont dû faire face à cette question. Le mois dernier, le rançongiciel RobinHood a paralysé le système informatique de Greenville. L’an dernier, Atlanta et San Antonio ont fait partie des plus grandes villes américaines ayant été visées par des pirates.

PHOTO STEPHANIE KEITH, REUTERS

Plus de trois semaines après la cyberattaque dont elle a été victime, la Ville de Baltimore est encore lourdement paralysée. Sur la photo, prise le 10 mai, une affiche indiquant que les systèmes informatiques sont hors service est apposée sur l’une des portes de l’hôtel de ville.

Le phénomène tient en bonne partie à la vulnérabilité des systèmes informatiques de beaucoup de municipalités.

« Les organisations qui ont un bon personnel de soutien, un bon financement et de bons procédés, comme les banques et d’autres institutions du genre, sont habituellement à jour dans leurs correctifs », a expliqué à La Presse Avi Rubin, professeur d’informatique et expert en cybersécurité à l’Université Johns Hopkins de Baltimore.

« Mais les gouvernements municipaux sont souvent mal financés, et leur soutien informatique est souvent inadéquat. Ils n’ont donc pas nécessairement les ressources pour s’assurer de la mise à jour des correctifs. »

Une bonne décision

À Atlanta, les pirates avaient réclamé l’équivalent de 50 000 $ pour déverrouiller les fichiers informatiques de la Ville. Les élus locaux ont préféré débourser 17 millions pour reconstruire leur système.

Cette décision, qui a été imitée par les dirigeants de Baltimore, est la bonne, selon Avi Rubin.

« Je sais qu’il y a bien des cas où des gens ou des entreprises ont payé les pirates, mais ils l’ont fait très discrètement, a-t-il dit. Or, une ville comme Baltimore ne pourrait verser une rançon en cachette. Et je pense que ce serait une erreur. Cela enverrait le mauvais message et contribuerait à l’économie des pirates. Et vous n’auriez pas la garantie que vos fichiers seraient déverrouillés. Que se passerait-il si les pirates revenaient et disaient : “Maintenant, nous voulons 1 million.” Payer n’est pas la bonne approche. »

Plus de trois semaines après la cyberattaque dont elle a été victime, la Ville de Baltimore est encore lourdement paralysée. La messagerie électronique de certains employés est de retour, mais les services de police et d’incendie en sont encore dépourvus.

La cyberattaque empêche par ailleurs les citoyens d’utiliser l’internet pour acquitter leurs factures d’eau et d’électricité auprès de la Ville, ou encore pour payer des amendes ou des impôts locaux. Elle retarde en outre plus de 1500 transactions immobilières et rend inutilisables de nombreuses caméras de surveillance.

En attendant la reconstruction du système informatique de la Ville, les citoyens de Baltimore sont encouragés à utiliser la poste traditionnelle pour envoyer leurs paiements.

Un outil de la NSA

À en croire le New York Times, les responsables des cyberattaques contre des villes américaines, dont Baltimore, ont utilisé EternalBlue, un puissant outil de piratage développé par l’Agence de sécurité nationale (NSA) et publié sur le web en avril 2017 par le groupe de pirates informatiques The Shadow Brokers.

Mais l’information du Times est peut-être prématurée dans le cas de Baltimore, selon Christopher Elisan, directeur du renseignement chez Flashpoint, entreprise new-yorkaise de cybersécurité.

« Nous n’avons pas encore de preuve irréfutable liant EternalBlue à RobinHood, a-t-il fait savoir à La Presse. EternalBlue n’est pas un composant du rançongiciel, mais un vecteur d’infection, ce qui signifie qu’il peut être utilisé pour introduire n’importe quel type de maliciel. Il fonctionne en exploitant les serveurs Microsoft Windows vulnérables et en envoyant des paquets malveillants pour installer un maliciel dans un système. »

Un mois avant la publication d’EternalBlue sur l’internet, la NSA avait encouragé Microsoft à fournir des correctifs pour fermer la porte à cet outil de piratage qui est aujourd’hui populaire auprès de hackers nord-coréens, russes et chinois. La Ville de Baltimore pourrait avoir omis d’utiliser ces correctifs pour protéger ses ordinateurs.

Ce qui ne l’empêche pas aujourd’hui d’invoquer l’information du Times pour demander au gouvernement fédéral de l’aider à financier la reconstruction de son système informatique.