L’attaque par rançongiciel contre le système d’alerte CodeRED aux États-Unis a entraîné l’arrêt total de son infrastructure pendant près de deux semaines et la fuite de données critiques non chiffrées.
TL;DR : L’essentiel
- Un groupe de cybercriminels a ciblé la plateforme de notification d’urgence utilisée par de nombreuses municipalités américaines, provoquant une interruption de service majeure. L’attaque a forcé les autorités locales à abandonner l’outil pendant près de deux semaines, compromettant la diffusion d’alertes de sécurité publique.
- Les assaillants ont exfiltré des volumes importants de données personnelles appartenant aux résidents inscrits. Les preuves fournies par les pirates révèlent que les bases de données contenaient des mots de passe stockés en texte clair, sans aucune mesure de hachage cryptographique.
- Suite à l’échec des négociations de rançon, l’opérateur du service a pris la décision de démanteler définitivement l’environnement informatique compromis. Cette mesure radicale a forcé une bascule d’urgence vers une nouvelle infrastructure cloisonnée pour tenter de rétablir le service.
L’incident a provoqué une rupture de confiance immédiate, menant plusieurs juridictions à résilier leurs contrats. La faille expose désormais des millions d’utilisateurs à des risques accrus de piratage par réutilisation de leurs identifiants sur d’autres plateformes.
Mécanique de l’attaque et paralysie opérationnelle
L’incident qui a frappé CodeRED illustre la vulnérabilité critique des chaînes d’approvisionnement numériques dans le secteur de la sécurité publique. Le système, conçu pour diffuser massivement des alertes en cas de catastrophes naturelles ou d’événements graves, a été neutralisé par une attaque de type ransomware. L’offensive a été revendiquée par le groupe INC Ransom, qui a exploité une brèche dans l’environnement « legacy » (hérité) du fournisseur.
L’impact opérationnel a été immédiat : des dizaines de municipalités et de comtés se sont retrouvés privés de leur canal principal de communication avec la population. Comme le rapporte CyberScoop dans son analyse, l’opérateur Crisis24 a dû procéder à un arrêt complet et permanent de l’infrastructure touchée pour contenir la contagion. Cette décision fait suite à l’échec des négociations avec les attaquants, qui auraient rejeté une offre initiale avoisinant les 100 000 dollars. Durant la coupure de deux semaines, les services d’urgence ont été contraints de dégrader leurs processus, se rabattant sur les réseaux sociaux pour diffuser des informations vitales.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Vulnérabilité critique : le stockage en clair
Au-delà de l’indisponibilité du service, l’analyse forensique de l’incident a mis en lumière une défaillance de sécurité majeure dans l’architecture des données. Pour prouver leur intrusion, les cybercriminels ont publié des captures d’écran de la base de données exfiltrée. Ces images montrent que les informations d’identification des utilisateurs, y compris leurs mots de passe, étaient stockées en texte clair (clear text), sans application de fonctions de hachage ou de salage (salting).
Cette pratique obsolète constitue une négligence technique sévère. En cybersécurité, le stockage en clair permet aux attaquants de lire et d’utiliser immédiatement les identifiants volés, sans avoir à casser un chiffrement. Selon les détails techniques relevés par Malwarebytes dans son rapport, cette vulnérabilité expose directement les victimes à des attaques par « credential stuffing » (bourrage d’identifiants). Les attaquants peuvent en effet automatiser l’utilisation de ces combinaisons email/mot de passe pour tenter d’accéder à d’autres services numériques (banques, emails, réseaux sociaux) où les utilisateurs auraient réutilisé les mêmes identifiants.
La gravité de cette faille technique et la gestion de l’incident ont conduit à une migration forcée et accélérée vers une nouvelle plateforme, présentée comme isolée et auditée, tandis que plusieurs clients institutionnels ont opté pour la résiliation pure et simple de leurs contrats.
Qui est CodeRED ?
Édité par OnSolve (propriété de Crisis24), CodeRED est une solution SaaS de notification de masse massivement adoptée par les collectivités locales américaines. Contrairement au système d’alerte fédéral (EAS), ce service repose sur l’inscription volontaire des citoyens. Il permet aux autorités d’envoyer des alertes géociblées ultra-rapides (météo, évacuations, personnes disparues) via appels vocaux, SMS et emails.
Serveurs, API, temps de veille...
DCOD est indépendant et sans revenus. Soutenez le site pour l'aider à couvrir ses frais techniques.
