Lorsque des bandits rançongiciels ont frappé son entreprise en juin dernier, cryptant toutes ses données et logiciels opérationnels et lui envoyant une image tête de mort et une adresse e-mail pour connaître le prix qu’il devrait payer pour tout restaurer, Fran Finnegan a pensé qu’il faudrait lui des semaines pour tout remettre dans son état d’avant le piratage.
Cela lui a pris plus d’un an.
Le service de Finnegan, Informations SECest revenu en ligne le 18 juillet. L’année qui a suivi a été marquée par des journées brutales de 12 heures, sept jours sur sept, et des dépenses de dizaines de milliers de dollars (et la perte de bien plus en paiements d’abonnés pendant que le site était en panne).
La quantité de détails auxquels j’ai dû faire face était tout simplement atroce… Parce que j’ai tout perdu.
— Fran Finnegan, SEC Info
Il a dû acheter deux nouveaux ordinateurs ou serveurs haute capacité et attendre que son fournisseur, Dell, maîtrise une pénurie de puces informatiques post-pandémique.
Pendant ce temps, les abonnés, qui payaient jusqu’à 180 $ par an pour son service, tombaient.
Finnegan estime que jusqu’à la moitié de ses abonnés ont peut-être annulé leurs comptes, ce qui lui a valu une perte de revenus à six chiffres au cours de l’année.
Il s’attend à ce que la plupart reviennent une fois qu’ils apprendront que SEC Info est opérationnel, mais les pirates ont détruit sa base de données clients, y compris les contacts de messagerie et les informations de facturation, il doit donc attendre qu’ils restaurent leurs comptes de manière proactive.
Pour remettre en ligne les informations de la SEC, Finnegan a dû reconstruire minutieusement le logiciel qu’il avait écrit au cours des 25 années précédentes et réinstaller une base de données de quelque 15,4 millions de documents déposés par la Securities and Exchange Commission datant de 1993.
C’était un effort vraiment héroïque, et tout était entre ses mains. Finnegan a travaillé sous une pression intense et auto-imposée pour que son service soit opérationnel comme il l’était avant l’attaque.
“La quantité de détails auxquels j’ai dû faire face était tout simplement atroce et très frustrante – je me suis dit:” J’ai déjà fait tout cela une fois, et maintenant je dois tout refaire. Parce que j’ai tout perdu.
À peu près à mi-parcours, quelques jours avant Noël, il a subi un accident vasculaire cérébral – un accident bénin se manifestant par une série de chutes, mais pas de difficultés cognitives – qu’il attribue au stress qu’il subissait.
Comme je l’ai dit l’année dernière au début de l’épreuve de Finnegan, SEC Info offre aux abonnés un accès à tous les documents d’information financière déposés auprès de la Securities and Exchange Commission – rapports annuels et trimestriels, déclarations de procuration, divulgations des principaux actionnaires et bien plus encore, un vaste entrepôt d’informations financières accessibles au public, présentées dans un format consultable et particulièrement bien organisé.
Le site Web ressemble au produit d’une équipe d’experts en traitement de données, mais il s’agit d’une boutique individuelle. “C’est mon truc”, m’a dit Finnegan, 71 ans. « Je suis le seul gars. Rien ne se passe à moins que je ne le fasse moi-même.
Diplômé en informatique et titulaire d’un MBA de l’Université de Chicago, ainsi qu’une douzaine d’années d’expérience à Wall Street en tant que banquier d’affaires et quelques années en tant que concepteur de logiciels indépendant pour de grandes entreprises, Finnegan a lancé SEC Info en 1997.
De retour aux affaires : Après un an, SECInfo.com est en ligne et récupéré d’une attaque de ransomware de 2021.
(SECInfo.com)
La SEC avait mis sa base de données EDGAR en ligne gratuitement après avoir reconnu que cela permettrait aux entrepreneurs d’offrir une multitude de formats innovants et de services de données connexes.
Finnegan a été l’un des pionniers dans le domaine, devenant finalement l’un des plus grands fournisseurs tiers de dépôts auprès de la SEC.
L’expérience de Finnegan ouvre une fenêtre sur les conséquences des ransomwares qui ne sont pas beaucoup signalés – l’impact sur les petites entreprises comme la sienne, qui n’ont pas d’équipes de professionnels des données à mobiliser en réponse ou une empreinte suffisamment importante pour obtenir l’aide du gouvernement fédéral ou organismes internationaux chargés de l’application de la loi.
Les attaques de ransomwares, dans lesquelles les auteurs volent ou cryptent l’accès en ligne ou les données des victimes et exigent un paiement pour retrouver l’accès, ont proliféré ces dernières années pour plusieurs raisons.
L’un est la croissance explosive des opportunités : plus de systèmes et d’appareils sont liés au cyberespace que jamais auparavant, et un pourcentage relativement faible est protégé par des précautions de cybersécurité efficaces.
Les ravisseurs de données peuvent déployer un arsenal sans cesse croissant d’outils prêts à l’emploi qui “rendent le lancement d’attaques de ransomware presque aussi simple que l’utilisation d’un site d’enchères en ligne”. selon les réseaux de Palo Alto, qui commercialise des systèmes de cybersécurité. Certains entrepreneurs de rançongiciels “offrent des ‘kits de démarrage’ et des ‘services d’assistance’ aux cybercriminels potentiels, … accélérant la vitesse à laquelle les attaques peuvent être introduites et propagées”, rapporte Palo Alto.
L’avènement des crypto-monnaies peut également avoir facilité ces attaques ; les auteurs exigent généralement un paiement en bitcoin ou dans d’autres monnaies virtuelles, évidemment en supposant que ces transactions sont plus difficiles à suivre pour les autorités que celles qui utilisent des dollars. (CA se peut une fausse hypothèsecomme il s’avère.)
Il est difficile de mettre le doigt sur l’ampleur de la menace des ransomwares, en partie parce que la plupart des estimations proviennent d’entreprises de sécurité privées, qui peuvent être incitées à maximiser le problème et, en tout état de cause, proposer des chiffres variés.
Ce qui semble clair, c’est que le problème prend de l’ampleur, suffisamment pour qu’il ait retenu l’attention des la maison Blanche et les agences internationales.
Les attaques contre les grandes entreprises attirent le plus l’attention. En 2021, selon une liste de 87 attaques compilée par Heimdal Security, les victimes comprenaient la société de conseil aux entreprises Accenture, la société audio Bose, le Trésor national brésilien, Cox Media, l’Université Howard, Kia Motors, la National Rifle Assn. et l’Université de Miami.
Les établissements de santé ont longtemps été des cibles privilégiées. L’année dernière, Scripps Health, l’exploitant à but non lucratif de cinq hôpitaux et de 19 cliniques externes en Californie, a dû transférer les patients victimes d’un AVC et d’une crise cardiaque de quatre hôpitaux et fermé des centres de traitement de traumatologie dans deux.
Le personnel a été exclu de certains systèmes de données. L’attaque a coûté à Scripps au moins 113 millions de dollars, selon une estimation préliminaire.
L’attaque de Finnegan était trop petite pour apparaître sur ces listes. Mais pour lui, ce fut un événement qui a changé sa vie.
La catastrophe a commencé par une violation massive des données chez Yahoo qui s’est produite en 2013 mais que Yahoo n’a divulgué qu’en 2016. Les pirates ont volé les mots de passe des e-mails, les numéros de téléphone, les dates de naissance et les questions et réponses de sécurité de 3 milliards d’utilisateurs de Yahoo, dont Finnegan.
Finnegan a suivi les conseils de Yahoo pour changer les mots de passe de son compte Yahoo mais a oublié qu’il avait utilisé le même mot de passe pour accéder à ses privilèges administratifs chez SEC Info.
Cela n’a peut-être pas été un problème, sauf qu’avant de partir pour une semaine de vacances l’été dernier, il a activé un port d’accès numérique afin de pouvoir surveiller son système de loin.
Son ancien mot de passe était une bombe à retardement entre les mains de quiconque ayant accès aux données Yahoo volées. Depuis le 26 juin dernier, les pirates ont envoyé 2,5 millions de pings à son système avec des mots de passe Yahoo volés, trouvant finalement le bon.
“Ils ont eu de la chance”, m’a-t-il dit. “S’ils avaient essayé une semaine plus tôt ou une semaine plus tard, ils n’auraient pas pu entrer.”
Finnegan ne savait pas que son système avait été piraté jusqu’à ce qu’un abonné lui demande par SMS pourquoi son site Web était en panne. Lorsqu’il se connectait à distance, il ne pouvait que regarder, impuissant, les attaquants crypter tous ses fichiers.
Finnegan pensait qu’il avait été correctement sauvegardé, car ses données étaient stockées sur deux serveurs, des ordinateurs de grande capacité hébergés dans un centre de données à San Francisco. C’était une protection contre l’effondrement de l’un ou l’autre des serveurs, mais pas contre un pirate utilisant réellement son mot de passe.
Il a brièvement pensé à répondre aux pirates, mais une recherche rapide en ligne a révélé des rapports d’autres victimes indiquant qu’elles avaient payé la rançon sans recevoir de code de décryptage.
Même si les pirates ont déchiffré les données de Finnegan – les plus de 15 millions de documents déposés auprès de la SEC – ils avaient saccagé son logiciel opérationnel, et cela n’a pas pu être récupéré par décryptage.
Alors Finnegan entreprit de reconstruire son système. Heureusement, environ 90% des documents déposés avaient été stockés sur des disques externes à son domicile de Bay Area, déconnectés d’Internet et donc hors de portée des pirates.
Mais il s’agissait de dépôts plus anciens datant d’avant 2020, les dernières données sur les disques stockés. Les 10 % restants avaient été détruits, soit plus de 1,5 million de documents.
Le téléchargement des dépôts les plus récents de la SEC a pris deux mois car l’agence limite le rythme de téléchargement à partir de sa base de données afin que l’accès ne puisse pas être monopolisé par les gros utilisateurs.
La tâche la plus difficile consistait à reconstruire tous les programmes que Finnegan avait écrits au fil des ans pour analyser les données de la SEC et les rendre utilisables pour ses abonnés de multiples façons.
“Certaines choses remontent à 25 ans, et vous oubliez des trucs”, m’a-t-il dit.
Au début, dit-il, « je pensais simplement obtenir les données, les exécuter à nouveau dans le moteur d’analyse et tout reconfigurer, et j’aurais terminé ». Il s’est heurté à un phénomène identifié de manière mémorable par l’ancien responsable des logiciels d’IBM, Fred Brooks, dans son livre classique, “Le mois de l’homme mythique”: Projets logiciels toujours prennent plus de temps que prévu et manquent toujours leurs échéances.
Ainsi, les semaines se sont transformées en mois. Finnegan publierait une date de récupération en ligne et la dépasserait. “C’est arrivé au point où j’ai arrêté de faire des prédictions, parce que quand ça ne se produisait pas, je me sentais comme un idiot.”
En juin, cependant, “je pouvais voir le bout du tunnel”, dit-il, et projetait un retour pour son anniversaire, le 1er juillet. Ce n’était toujours pas prêt, alors il a mis en ligne une date de restauration du 15 juillet – et enfin remonte le 18 juillet.
Cette fois-ci, Finnegan a scellé les failles de sécurité qui permettent à ses agresseurs de bafouer ses affaires. Il reçoit des sauvegardes de données presque en temps réel et les maintient hors ligne et déconnectées d’Internet, ce qui a rendu le processus d’accès à distance à son système beaucoup plus complexe.
Finnegan a encore quelques tâches à accomplir pour que SEC Info fonctionne exactement comme avant, mais celles-ci impliquent des fonctions que seule une infime minorité d’abonnés ont utilisées. Il est convaincu qu’il n’aura plus à affronter cette tribulation.
« Je suis à peu près sûr que je ne vais pas me faire frapper à nouveau », m’a-t-il dit. J’ai entendu un moment de doute dans sa voix, mais ensuite sa confiance est revenue. « Non, plus personne ne rentrera », a-t-il dit.
