Une cyberattaque de ransomware frappe 500 000 résidents à Columbus
Une cyberattaque d'ampleur a frappé cet été la ville de Columbus, capitale de l'Ohio aux États-Unis. Les autorités viennent de confirmer qu'un gang de ransomware a réussi à dérober les données personnelles de plus d'un demi-million de résidents lors de cette attaque survenue le 18 juillet dernier. Un coup dur pour la municipalité qui peine à gérer les conséquences de ce vol massif de données sensibles.
500 000 résidents touchés par le vol de données
Dans un document transmis au procureur général du Maine, la ville de Columbus a révélé qu'un "acteur de la menace cyber étranger" avait compromis son réseau informatique pour accéder à une multitude d'informations personnelles sur ses administrés :
- Noms et prénoms
- Dates de naissance
- Adresses postales
- Pièces d'identité
- Numéros de sécurité sociale
- Coordonnées bancaires
Si les autorités n'ont pas précisé le nombre exact de personnes affectées, elles estiment qu'environ 500 000 résidents seraient concernés, soit plus de la moitié de la population de Columbus qui compte quelque 900 000 âmes.
Le gang Rhysida derrière l'attaque ransomware
Le groupe de cybercriminels à l'origine de cette attaque n'est autre que Rhysida, un gang de ransomware déjà connu pour avoir ciblé l'an dernier la British Library. Début août, Rhysida a revendiqué la cyberattaque contre Columbus, affirmant avoir volé pas moins de 6,5 téraoctets de données à la ville, notamment :
- Des bases de données
- Des identifiants et mots de passe internes d'employés
- Une sauvegarde complète de serveurs hébergeant des applications de services d'urgence
- L'accès aux caméras de vidéosurveillance de la ville
En guise de rançon, les malfaiteurs ont exigé 30 bitcoins, soit environ 1,9 million de dollars au moment de l'attaque, en échange des données dérobées.
La ville minimise, les données fuient sur le dark web
Deux semaines après la cyberattaque, le maire de Columbus, Andrew Ginther, assurait au public que les données volées étaient probablement "corrompues" et "inutilisables". Une déclaration rapidement mise à mal quand le lendemain, un chercheur en cybersécurité révélait que les informations personnelles de centaines de milliers d'habitants étaient en vente sur le dark web.
Loin d'assumer sa part de responsabilité, la municipalité a choisi d'attaquer en justice ce lanceur d'alerte, l'accusant de "menacer de partager les données volées avec des tiers". Une tentative de faire taire celui par qui le scandale arrive.
Les autorités locales doivent cesser de nier l'évidence et prendre la pleine mesure de cette fuite massive de données. Il est temps d'informer en toute transparence les administrés et de mettre en œuvre des mesures concrètes pour les protéger.
Mike Johnson, expert en cybersécurité
La moitié des données volées mises en ligne
Preuve que les cybercriminels ne bluffaient pas, Rhysida a mis en ligne lundi 3,1 To de données "invendues", soit plus de 250 000 fichiers volés à la ville de Columbus. Les autorités craignent désormais que ces informations sensibles soient exploitées à des fins malveillantes comme l'usurpation d'identité ou la fraude.
Un plan d'action attendu pour protéger les habitants
Face à l'inquiétude grandissante de la population, la municipalité se doit d'agir au plus vite pour limiter les dégâts de cette fuite de données sans précédent. Plusieurs mesures cruciales s'imposent :
- Informer individuellement chaque personne touchée
- Proposer un service gratuit de surveillance du crédit et de protection contre l'usurpation d'identité
- Mettre en place une cellule d'assistance pour répondre aux questions des administrés
- Revoir en profondeur la sécurité informatique de la ville pour prévenir de nouvelles cyberattaques
Cette cyberattaque de grande ampleur doit servir d'électrochoc pour renforcer drastiquement la cyberdéfense des collectivités locales. Car comme le montre cet exemple, aucune organisation n'est à l'abri et les conséquences peuvent être dramatiques pour la population en cas de failles. Un véritable enjeu de sécurité publique.