Piratage du métro de San Francisco : les hackers ont bien volé des données personnelles

Le métro gratuit, c'est fini. Mais les inquiétudes commencent à San Francisco. Après le piratage du système informatique du service de transports en commun de la ville lors du week-end de Thanksgiving, l'enquête se poursuit. Un mystérieux groupe de hackers avait réussi à afficher le message "Vous avez été piratés, toutes les données sont désormais cryptées" sur les ordinateurs des employés de la SFMTA et à mettre hors service le système de billetteries automatiques.

Si MUNI, le réseau de transports municipaux, n'a dans un premier temps pas voulu reconnaître le piratage, ils ont fini par admettre avoir été victime d'un "ransomware", mais que la sécurité des bus, métros et autres tramways n'avait pas été touchée. Les hackers, contactés par plusieurs organes de presse, ont confirmé avoir demandé une rançon pour libérer le système informatique du virus. Contre une somme estimée à 73 000 dollars (100 Bitcoins, uniquement monnaie demandée par les pirates), ils étaient prêts à remettre tout en ordre. Mais MUNI ne semble pas réceptif à la menace et a indiqué qu'il ne paierait pas. Alors, les hackers sont passés à la vitesse supérieure.

Selon le site Fortune qui a communiqué avec eux, ils seraient prêts à publier 30 Go de données personnelles d'employés et de clients obtenus lors du piratage. Fortune n'a pas réussi à savoir de quel type de données il s'agissait.

Un des pirates contactés par la presse et se faisant appeler "Andy Saolis"  a indiqué que quelques 2 000 serveurs et PC de la SFMTA "y compris toutes les billetteries automatiques, les services internes automatisés, le suivie des paies, les boîtes mail…" avaient été contaminés par le virus. Cela représente un quart des ordinateurs de la SFMTA (2.112 sur les 8.656 du réseau). Mais les pirates ont reconnu qu'ils ne visaient pas spécialement le réseau MUNI. Leur ransomware (logiciel malveillant qui bloque tout le système et permet aux hackers de demander une rançon pour le libérer) fonctionne aléatoirement et pu profiter "un très ancien système utilisé".

Et c'est de l'interne qu'est venu le coup de pouce nécessaire à l'attaque. Selon les pirates qui se sont confiés au San Francisco Examiner, c'est un administrateur réseau de la SFMTA qui téléchargeait un fichier torrent sur son ordinateur qui leur a donné involontairement l'accès. Ce dernier pensait obtenir un logiciel permettant de "cracker" un programme. Il s'agissait en fait du virus qui n'a eu qu'à contaminer les autres ordinateurs connectés au sien une fois le logiciel ouvert.

Les machines à tickets fonctionnent de nouveau parfaitement sur le réseau. En revanche, le système de paie ayant été infecté, une source au sein de la SFMTA ne cache pas qu'il n'ai pas certain que les salaires seront versés cette semaine. Le réseau SFMTA aurait perdu environ 559.000 dollars par jour (près de 528.000 euros).