🏴‍☠️ Attaque par ransomware Nevada : comment les hackers ont piraté les systèmes de l'État

Rançongiciel dans l’État d’Argent : Comment le Nevada a riposté contre les ombres

Quand des hackers ont paralysé le gouvernement du Nevada, ce sont la transparence et la ténacité - et non la rançon - qui ont rétabli l’ordre et établi un nouveau standard pour la gestion des crises cyber.

En Bref

Plus de 60 agences d’État du Nevada ont été touchées par un rançongiciel en août, paralysant des services publics essentiels.
L’attaque a commencé avec un outil d’administration piégé téléchargé depuis un faux site via une publicité Google malveillante.
Les hackers ont rôdé pendant des mois, volant des identifiants et supprimant les sauvegardes avant de déployer le rançongiciel sur tous les serveurs virtuels.
Le Nevada a refusé de payer la rançon, comptant plutôt sur des heures supplémentaires et le soutien d’experts pour la reprise.
En 28 jours, 90 % des données critiques ont été restaurées et les opérations ont repris - sans qu’un seul dollar ne soit versé aux criminels.

Au cœur du cauchemar du rançongiciel au Nevada

Imaginez une ville où, du jour au lendemain, toutes les serrures changent et les clés disparaissent. En août 2023, le gouvernement du Nevada s’est réveillé face à ce genre de catastrophe numérique. Les sites web se sont éteints, les téléphones sont restés muets, et les services essentiels se sont arrêtés. En coulisses : un gang de rançongiciel, patient et méthodique, exploitant un simple clic d’un employé sans méfiance des mois plus tôt.

L’intrusion a commencé en mai, lorsqu’un employé de l’État a cherché un outil d’administration système courant sur Google. À la place, il a été attiré par une publicité malveillante vers un site contrefait proposant un téléchargement piégé. Ce n’était pas une erreur d’inattention - le malvertising est un fléau croissant, visant même les informaticiens aguerris avec des faux presque parfaits. Le programme téléchargé contenait une porte dérobée cachée, offrant aux hackers un passe-partout pour les couloirs numériques du Nevada.

L’anatomie de l’attaque

Une fois à l’intérieur, les attaquants ont agi avec discrétion. Leur logiciel malveillant s’est profondément enraciné, résistant même aux tentatives d’éradication des antivirus. Pendant des semaines, ils ont discrètement installé des logiciels de surveillance, enregistré les frappes clavier, et établi des tunnels chiffrés pour contourner les défenses. À la mi-août, ils avaient cartographié le réseau, volé des identifiants dans le coffre-fort de mots de passe de l’État, et effacé les journaux pour masquer leurs traces. Le 24 août, avec une précision chirurgicale, ils ont supprimé tous les volumes de sauvegarde et déployé le rançongiciel sur chaque serveur virtuel - paralysant plus de 60 agences d’un seul coup.

De telles tactiques rappellent des incidents tristement célèbres comme l’attaque de Colonial Pipeline en 2021, où un seul compte compromis a provoqué des pénuries de carburant sur la côte Est des États-Unis. Les groupes de rançongiciel, souvent liés au crime organisé ou à des États hostiles, ont perfectionné ces méthodes : obtenir un accès, élever les privilèges, détruire les sauvegardes, puis exiger une rançon. Ce qui distingue l’épreuve du Nevada, c’est ce qui s’est passé ensuite.

Résilience plutôt que rançon

La réponse du Nevada a été rapide et remarquablement transparente. Plutôt que de céder aux criminels - une décision controversée qui peut encourager d’autres attaques - l’État a mobilisé ses propres équipes informatiques et fait appel à des experts de Microsoft, Mandiant et d’autres. Après plus de 4 200 heures supplémentaires et plus de 1,3 million de dollars en soutien de prestataires, 90 % des données vitales ont été restaurées, les salaires traités et les systèmes de sécurité publique remis en ligne. Le rapport public post-incident de l’État, rare par sa franchise, détaille chaque étape et chaque faille, établissant un nouveau standard de transparence en matière de crise pour les administrations.

Dans la foulée, le Nevada a renforcé ses défenses numériques : suppression des anciens comptes, réinitialisation des mots de passe, et révision des autorisations. Mais les responsables reconnaissent que la bataille continue. À mesure que les cybercriminels s’adaptent - utilisant désormais publicités en ligne, ingénierie sociale et logiciels malveillants avancés - les défenseurs doivent aussi évoluer. L’épreuve du Nevada rappelle crûment qu’à l’ère numérique, vigilance, transparence et résilience sont aussi essentielles que n’importe quel pare-feu.

WIKICROOK

Rançongiciel : Un rançongiciel est un logiciel malveillant qui chiffre ou verrouille des données, exigeant un paiement des victimes pour restaurer l’accès à leurs fichiers ou systèmes.
Malvertising : Le malvertising est l’utilisation de publicités en ligne pour diffuser des logiciels malveillants, souvent en incitant les utilisateurs à cliquer sur des liens dangereux - même sur des sites réputés fiables.
Porte dérobée : Une porte dérobée est un accès caché à un ordinateur ou un serveur, contournant les contrôles de sécurité habituels, souvent utilisé par les attaquants pour prendre le contrôle en secret.
Remote Desktop Protocol (RDP) : Le Remote Desktop Protocol (RDP) permet aux utilisateurs d’accéder et de contrôler un ordinateur à distance. Sans sécurité adéquate, il peut être vulnérable aux cyberattaques.
Mécanisme de persistance : Un mécanisme de persistance est une méthode utilisée par les logiciels malveillants pour rester actif sur un système, survivant aux redémarrages et aux tentatives de suppression par les utilisateurs ou les outils de sécurité.