En mars dernier, une cyberattaque menée par le ransomware SamSam a mis la ville d’Atlanta à genoux.
Six jours après la fermeture des systèmes en ligne de la ville le 22 mars, Atlanta reportait toujours les dates d’audience, la police et d’autres employés rédigeaient toujours leurs rapports manuellement, et les résidents ne pouvaient toujours pas payer en ligne leurs factures d’eau ou leurs tickets de stationnement.
Les cybercriminels, se cachant derrière le ransomware SamSam, ont exigé une rançon d’une valeur équivalente à 52 000$ (environ 45 000€) en bitcoin. Payer des cybercriminels n’est jamais une très bonne option, et vous n’avez aucune garantie qu’après le paiement, ils ne reviendront pas vers vous pour en demandant davantage. Mais cette rançon n’est rien en comparaison des 2,6 millions de dollars de contrats d’urgence que la ville a mis en place pour récupérer ses systèmes.
Des mois plus tard, la douleur se fait toujours sentir. Vendredi, la chef de la police d’Atlanta, Erika Shields, a déclaré que des années de données enregistrées à partir des dashcams de la police avaient été perdues et ne pouvaient être récupérées.
Shields a déclaré à The Atlanta Journal-Constitution et à Channel 2 Action News que son département n’avait pas perdu l’accès aux dossiers d’enquête ou à d’autres preuves cruciales : l’accès à ces fichiers a été rapidement rétabli après l’attaque, a-t-elle déclaré.
Mais la perte des séquences des dashcams pourrait compromettre un nombre indéterminé d’enquêtes, y compris celles concernant la conduite sous influence (DUI).
Shields a minimisé l’importance des séquences vidéo en provenance des dashcams, en déclarant qu’il existe d’autres formes de preuves qui pourraient les aider dans les affaires concernées :
Je ne suis pas trop inquiète, je ne le suis vraiment pas. Parce que c’est un outil, certes un outil utile pour nous. Mais les dashcams, selon nous, ne constituent pas la preuve ultime. Il doit y avoir le témoignage corroborant de l’officier. Il existe d’autres éléments de preuve. Ce ne sont pas des éléments qui font ou défont une affaire selon nous.
Mais l’AJC a discuté avec des experts juridiques et des officiers de police qui étaient en désaccord. Ils ont déclaré qu’en réalité, ces séquences vidéos étaient vraiment cruciales dans certaines affaires.
L’avocat Manny Arora a déclaré à un journal que cette perte “favorisera probablement un peu plus l’État parce qu’à présent, concernant certains événements, il s’agira des mots de l’officier de police contre ceux de l’accusé”.
Ken Allen, un dirigeant syndical de la police d’Atlanta et un enquêteur à la retraite, a également déclaré au média que la preuve vidéo peut aider à déterminer si un agent est responsable d’avoir utilisé la force ou responsable dans des enquêtes sur des collisions impliquant la police. Shields a souligné que les vidéos bodycam n’ont, quant à elles, pas été perdues.
L’AJC a signalé un autre exemple : une affaire impliquant des images d’actes malveillants commis par un ancien employé, exclu de la police, pour avoir prétendument détruit une demande d’ouverture de dossiers. Un enquêteur, dans cette affaire, a déclaré que 105 000 fichiers avaient été compromis sur son ordinateur.
Ce n’est pas un problème, a déclaré Shields, d’autres preuves appuient le licenciement de cet ancien employé :
Les employés doivent sauvegarder les documents. Même si ce n’est pas lié à une enquête criminelle, si cela vous est d’une quelconque utilité, vous devez sauvegarder ces éléments. Je pense que c’était une leçon douloureuse mais utile en matière de sécurité informatique pour nous tous.
Il existe aussi d’autres leçons très utiles, tout aussi douloureuses.
Se défendre contre SamSam
Contrairement à la plupart des autres formes de ransomwares de haut niveau, SamSam est utilisé dans des attaques ciblées où les victimes sont choisies manuellement et l’approche, réalisée par le cybercriminel, est adaptée pour causer le maximum de dégâts et de perturbations, et pour obtenir une rançon la plus élevée possible.
Comme les attaques de SamSam sont relativement rares et que les méthodes impliquées diffèrent d’une victime à l’autre, il peut être difficile de se protéger.
Cependant, il existe des points communs à toutes ces attaques et Sophos a publié un article, sur son site Sophos News, donnant quatre conseils pour améliorer votre sécurité face à SamSam et à d’autres ransomwares ciblés.
Vous pouvez également en savoir plus sur SamSam dans le récent livre blanc réalisé par les SophosLabs : SamSam ransomware chooses its targets carefully. Pour en savoir plus sur les ransowmares, écoutez notre podcast Techknow :
Billet inspiré de Atlanta ransomware attack destroyed years of police dashcam video, sur Sophos nakedsecurity.