Bannière web 1000x250
PUBLICITÉ
Bannière web 300x250
PUBLICITÉ

Des documents hyper confidentiels de Sonatrach dérobés par des hackers

L’entreprise nationale des hydrocarbures, Sonatrach, et son partenaires américain Anadarko étaient victimes d’une attaque informatique par le ransomware Maze le 1 avril passé. Les pirates ont dérobé toutes les informations contenues dans la base de données. Plus de 500 méga-octets de documents contenant les stratégies, les budgets, quantités de production ainsi que d’autres informations très sensibles sont mis en ligne. Maze est connu pour ses pratiques de chantage.

Désormais, des informations sensées être très confidentielles comme le prix de revient du baril de pétrole au groupement Berkine, les objectifs fixés pour l’an 2020, et les budgets alloués aux différentes missions des deux compagnies ainsi que les listes des salariés, leurs contacts et même les documents de voyages de certains d’entre-eux sont disponibles au téléchargement ! Comment-est-ce-possible ?

Tout a commencé le premier Avril dernier lorsque le ransomware Maze, devenu l’un des groupes de pirates les plus redoutés au monde entier, annonce sur son compte twitter que la base de données du groupement Berkine appartenant à Sonatrach a été piratée.

Au départ, cela ressemblait à une Fake ! comment la première société en Afrique peut subir une telle attaque ? n’a-t-elle pas les moyens de se payer la meilleure sécurité qui existe au monde ? Pourquoi attaquer précisément le site ou l’américaine Anadarko est présent ? qui sont ces Hackers ?

© INTERLIGNES | Capture d’écran d’un document de la commission des marchés de la compagnie

Selon l’Agence Nationale de la Sécurité des Systèmes d’informations française (ANSSI) qui a travaillé sur le groupe des Hackers après une attaque qui a visé la filiale de construction de l’opérateur Bouygues en fin janvier 2020, soit deux mois avant l’attaque qui a visé Sonatrach, « le rançongiciel Maze a été découvert en mai 2019. Il est principalement connu pour être associé à des divulgations sur Internet d’informations présentées comme issues des systèmes d’information compromis ».

L’agence précise que certains de ses opérateurs ont en effet « choisi d’exercer ce moyen de pression supplémentaire à l’encontre des victimes qui ne payent pas rapidement la rançon demandée. Dans ce cadre, les données sont publiées sur internet ». Le ransomware Maze, variante de ChaCha, ainsi nommé car il utilise l’algorithme cryptographique ChaCha20 est le plus redouté au monde ces dernières années vu qu’ils utilisent une messagerie cryptée.

Ce groupe cybercriminel spécialisé dans le Big Game Hunting, probablement le groupe cybercriminel identifié par Proofpoint sous le nom de TA2101. Pour l’ANSSI, « ce groupe pourrait notamment être responsable des campagnes d’attaques d’octobre 2019 et ainsi cibler les secteurs de la santé, de la construction et de l’IT. Les attaques de ce groupe sont associées à des rançons de plusieurs millions de dollars ».

« les pirates sont soutenus et protégés par leurs gouvernements »

Par exemple, l’attaque contre l’entreprise américaine Southwire en décembre 2019 a été assortie d’une rançon de 850 BTC (Bitcoin est une cryptomonnaie autrement appelée monnaie cryptographique), soit environ 6 millions de dollars.

Devant le refus de payer de la société, les attaquants ont divulgué 14Gb de données présentées comme internes à la société. La ville américaine de Pensacola, également victime de Maze en décembre 2019, s’est vu demander l’équivalent d’un million de dollars contre le déchiffrement de ses fichiers.

Il est intéressant de noter que dans un cas, les attaquants ont déclaré qu’une partie de la rançon permettait d’obtenir l’outil de déchiffrement tandis que l’autre partie permettait d’assurer que les données ne soient pas divulguées. Selon l’l’ANSSI, « au-delà de la pression supplémentaire exercée sur la victime par ces divulgations, il semble ainsi qu’il y ait aussi une volonté de monétiser les données exfiltrées » précise l’agence.

Selon une enquête du New York Times, « le département de la justice Américain a localisé ces pirates en Russie, Iran et Korée du Nord ». La même source précise que, « toutes les demandes d’extradition auprès de ces états ont échoué ». Pour les américains,
Beaucoup de criminels opèrent à partir de pays hors de portée de la loi américaine.

D’ailleurs, le ministère de la Justice a inculpé des pirates informatiques en Iran, en Corée du Nord et en Russie, mais aucun ne semble menacé d’extradition. Les autorités américaines ont soupçonné les pirates d’être soutenus et protégés par les gouvernements des trois pays cités, et en contrepartie, « ils leurs transmettent les fichiers piratés ».

La sécurité des systèmes de Sonatrach ne sont pas fiables ?

Selon des sources auprès de la société nationale, des moyens énormes sont déployés par la société afin d’assurer la sécurité informatique. « Le personnel bénéficie régulièrement de formations, et les fournisseurs de matériels et de solutions Softwares sont les plus fiables au monde » nous a confié une source sûre auprès de la compagnie.

Mais la faille peut venir d’ailleurs. En 2019, la direction des opérations informatique a validé une opération à laquelle se sont opposés plusieurs ingénieurs spécialisés dans la sécurité. « Les services d’Algérie Télécom sont venus à Hassi Messouad, et ils ont recensé tous les ports des connexions, numéro de séries, certificats de connexions et les protocoles des équipements de sécurité ainsi que la stratégie mise en place ».

À l’époque, « la hiérarchie a été interpellée sur la sensibilité de ces données, mais la direction a ordonné la mise à disposition de toutes les informations demandées » regrette la même source qui dénonce la méthode « bureaucratique » de la gestion de la sécurité de la première société nationale. « Il suffit que ces informations tombent entre les mains d’un pirate et tout devient facile. C’est comme avoir les clefs d’ouverture de la porte blindée la plus solide au monde, n’importe qui peut l’ouvrir » nous explique-t-on.

Contrat entre Sonatrach et l’ENGTP

« Ce genre d’informations très sensibles doit rester uniquement au service IT, c’est une arme d’autodestruction » nous ajoute notre source, qui précise qu’il n’est pas entrain d’accuser Algérie Télécom, « mais ce genre d’information doit rester uniquement au département de sécurité de Sonatrach ».

Cela n’est qu’une piste parmi les centaines ou milliers d’hypothèses possibles, mais ce qui est sûr, Sonatrach n’a pas à faire à des pirates amateurs. La question qui se pose maintenant, est ce que Sonatrach a accès à ses données ou pas, car d’habitude, ce groupe de Hackers copie les données, et crypte celles laissées dans les serveurs de la société. Par la suite, Ils demandent une rançon afin de fournir le système de décryptage. Un chantage !

Nous avons essayé de contacter les chargés de communications du ministère de l’énergie et de la société Sonatrach, mais toutes nos tentatives sont restées sans suite.

Est-ce un moyen de pression sur le gouvernement qui s’oppose au rachat des actifs d’Anadarko par Total ?

Dans son historique, ransomware Maze avait l’habitude de s’attaquer principalement aux entreprises américaines, pour preuve, dans les documents révélés par les Hackers, la majorité des documents du personnel sont des américains. Est-ce un Hazard ou y’a-t-il un lien avec le rachat rejeté d’Anadako par Total ?

Selon un communiqué rendu public en décembre 2019, «Mohamed Arkab, ministre de l’Energie, s’est prononcé sur cette opération et a déclaré son incompatibilité avec le maintien d’Anadarko dans le contrat d’association sur le périmètre de Berkine». Le ministère explique qu’«Anadarko, partenaire de Sonatrach sur le périmètre de Berkine a sollicité, conformément à la loi sur les hydrocarbures, l’approbation du ministre de l’Énergie, pour le changement de contrôle d’Anadarko Algérie au profit de la compagnie Occidental ».

Il a rappelé que la demande reçue par les autorités algériennes fait « suite à l’opération de fusion/acquisition qui a été opérée, le 3 août 2019, entre les compagnies pétrolières américaines Anadarko et Occidental, dans le cadre de laquelle Occidental cédera l’ensemble de ses intérêts, nouvellement acquis en Afrique, au profit de Total».

Ces informations sont révélées au moment où le cours du prix du baril enregistre le plus bas niveau depuis 2002. Et pour faire face à cet effondrement du marché de l’Or noir, les Pays Opep+ (La Russie inclus), ont prévue de se réunir demain 6 avril, pour discuter d’une baisse sans précédent de l’offre mondiale de pétrole pour soutenir les cours, mais l’Opep et la Russie ont reporté pour jeudi 9 avril, sur fond de dispute entre la Russie et l’Arabie saoudite.

Cette attaque pourra, selon un ancien PDG du groupe que nous avons contacté, « affecter l’image de la société dans les marchés mondiaux, alors que la situation des marchés pétroliers se dégrade fortement ».

La société Sonatrach possède certainement une copie de ces données, mais comment va-t-on faire face à cette équipe de pirates qui ont fait chanté les plus grandes puissances au monde?

*Pour des raisons de sécurité et de garder le secret professionnel de la compagnie nationale, nous ne pouvons pas publier les documents.

AD-300-X-250