Un conseil municipal de Floride a voté pour payer une rançon de 600 000 dollars (531 000 euros) en bitcoin aux pirates qui ciblaient ses systèmes informatiques — et cette indemnité est un signe du manque de préparation d'une grande partie des États-Unis à faire face à une future vague de cyberattaques. Le conseil municipal de Riviera Beach, situé à 20 km au nord de Fort Lauderdale, une ville de sud-est de la Floride, a voté lundi 17 juin pour répondre aux demandes de ces pirates informatiques dans l'espoir de récupérer leurs données compromises, selon la chaîne de télévision CBS News.

Selon le journal Palm Beach Post, l'attaque a commencé le 29 mai 2019, lorsqu'un employé du service de police a ouvert une pièce jointe qui contenait un malware. Le logiciel s'est rapidement répandu dans les systèmes informatiques de la ville, affectant ainsi son système de messagerie mais également les opérations de répartition du service d'appelle d'urgence du 911. Selon le New York Times, les pirates réclamaient leur rançon en bitcoin. Le journal note qu'il n'y a aucune garantie que les pirates informatiques honoreront leur part du contrat après avoir reçu l'argent.

CBS a rapporté que le conseil municipal avait déjà voté pour dépenser 1 million de dollars (885 000 euros) pour de nouveaux ordinateurs après l'attaque.

Une porte-parole de la ville a déclaré au New York Times qu'elle était en train de travailler avec des consultants en sécurité et les forces de l'ordre. "Nous sommes sur la bonne voie pour restaurer le système de la ville", a-t-elle déclaré.

REUTERS / Stephanie Keith

Riviera Beach est un exemple frappant, mais elle est loin d'être la seule ville américaine à être paralysée à cause d'une cyberattaque. Les experts en sécurité du gouvernement fédéral et du secteur privé ont, à plusieurs reprises, averti qu'une grande partie de l'infrastructure publique américaine était dangereusement exposée aux cyberattaques, mais beaucoup d'institutions tardent à réagir.

La ville de Baltimore est l'une des villes les plus prises pour cible. Elle a été paralysée presque tout le mois dernier par une cyberattaque qui a gelé une grande partie de son réseau informatique. L'attaque a commencé début mai et a entraîné l'arrêt des systèmes de messagerie et le paiement des factures d'eau de la ville.

Le 12 juin 2019, les médias locaux ont annoncé que 30% des employés de la ville n'avaient toujours pas accès à leurs emails et que de nombreux services ne retrouveraient pas toutes leurs fonctionnalités avant des mois. La dernière estimation de la ville évalue le coût de l'attaque à plus de 18 millions de dollars.

Les pirates informatiques avaient demandé à la ville de Baltimore de payer une rançon de 76 000 dollars (67 000 euros), mais la ville avait refusé.

Ailleurs, une attaque de rançongiciel sur Atlanta en mars 2018 a finalement coûté à la ville près de 2,6 millions de dollars (2,3 millions d'euros). Albany dans l'Etat de New York, San Diego en Californie, Sarasota en Floride et un hôpital de Los Angeles ont également subi des attaques similaires.

Tyler Moore, professeur de cybersécurité à l'Université de Tulsa, dans l'Oklahoma, a déclaré au journal The Guardian en juin que "les hackers ont trouvé une manière de jouer qui fonctionne". Ils continuent de cibler les petits gouvernements jusqu'à ce qu'ils trouvent des groupes vulnérables et prêts à payer. Le Département de la sécurité intérieure des États-Unis a averti en 2018 que les gouvernements à travers les États-Unis étaient frappés par des logiciels malveillants parmi les plus coûteux et les plus destructeurs.

De telles attaques à petite échelle, même si elles font déjà du mal, pourraient aussi signifier que quelque chose de beaucoup plus important est en train de se préparer. Le mois dernier, Business Insider US a publié un article expliquant comment une cyberattaque de grande envergure, notamment contre le réseau d'électricité, pourrait paralyser les États-Unis.

Certains experts estiment que les cyberdéfenses américaines continueront d'être ignorées jusqu'à ce qu'une attaque soit tellement catastrophique que les gens seront obligés d'en prendre conscience.

James Andrew Lewis, vice-président et directeur de la technologie du Center for Strategic and International Studies, a déclaré à Business Insider US : "On me demande souvent : combien de personnes sont mortes lors d'une cyberattaque ? Zéro".

"Peut-être que c'est ça le seuil. Les gens sous-estiment les effets qui ne leur sont pas immédiatement visibles."

Version originale : Sinéad Baker/Business Insider