Quand une ville américaine entière a été paralysée par un ransomware - La réalité de la cyberattaque de Saint Paul

Sécurité
https://fr.andytips.com/posts/2025/saint-paul-attaque-ransomware-interlock-etude-cas-2025/
Sommaire

En juillet dernier, une attaque ransomware absolument dévastatrice a frappé Saint Paul, Minnesota, provoquant l’un des pires incidents de cybersécurité de l’histoire municipale américaine.
L’ensemble des systèmes informatiques de la ville ont été paralysés, les communications réseau ont échoué, les citoyens ne pouvaient plus payer leurs factures d’eau, les bibliothèques ont perdu l’accès Wi-Fi, et même les employés municipaux ne pouvaient plus travailler.

Il s’est avéré qu’il s’agissait d’une attaque ransomware orchestrée par un groupe de hackers appelé “Interlock.”
Ce qui est révoltant, c’est que lorsque la ville a refusé de payer leurs demandes, ces criminels ont publié 43 Go de données citoyennes sur Internet.

Examinons exactement ce qui s’est passé et ce que nous pouvons en tirer.

Comment tout a commencé

Je suis tombé sur cette histoire en scrollant des actualités de sécurité informatique.
On a eu pas mal d’attaques ransomware en Corée ces derniers temps, alors je garde un œil sur ce qui se passe ailleurs. Mais ça ? C’était d’un autre niveau.
Une ville américaine entière mise à genoux. J’avais du mal à y croire.

Pouvez-vous imaginer ce que ça fait d’avoir une ville entière paralysée ?
Quand j’y ai pensé, c’était vraiment terrifiant.
Tous les services numériques que nous tenons pour acquis dans la vie quotidienne deviennent soudainement inutiles en un instant.
(Je veux dire, peut-on encore fonctionner sans Internet de nos jours ??)

Chronologie de l’attaque

Voici comment tout s’est déroulé, jour après jour.

  • 22 juillet 2025 : L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) émet un avertissement concernant le groupe ransomware Interlock
  • 25 juillet 2025 : Les systèmes de sécurité automatisés de Saint Paul détectent pour la première fois une “activité suspecte” et l’attaque commence
  • 25-27 juillet 2025 : L’attaque se poursuit tout le week-end, les dégâts sur les systèmes s’intensifient
  • 27 juillet 2025 : Les autorités municipales ferment complètement tous les systèmes d’information pour éviter d’autres dommages
  • 28 juillet 2025 : Wi-Fi de l’hôtel de ville et des bibliothèques publiques coupé, outils de paiement en ligne désactivés, accès au réseau interne suspendu (les services d’urgence 911 (numéro d’urgence américain) restent opérationnels)
  • 29 juillet 2025 : Le maire Melvin Carter déclare officiellement l’état d’urgence local / Le gouverneur Tim Walz active l’équipe de protection cybernétique de la Garde nationale du Minnesota / Le FBI lance une enquête et déploie deux cabinets de cybersécurité nationaux
  • 30 juillet 2025 : La ville annonce que les salaires des employés seront payés normalement malgré l’arrêt du système de paie
  • 1er août 2025 : Le conseil municipal de Saint Paul décide à l’unanimité de prolonger l’état d’urgence de 90 jours
  • 8 août 2025 : Traitement manuel de la paie terminé, tous les employés payés normalement
  • 10 août 2025 : L’attaquant identifié comme le groupe ransomware ‘Interlock’ officiellement confirmé / L’opération de récupération “Operation Secure St. Paul” commence (réinitialisations de mots de passe et vérifications d’équipements pour environ 3 500 personnes)
  • 11 août 2025 : La ville annonce officiellement le rejet des demandes de rançon / Interlock se venge en publiant 43 Go de données volées sur le dark web (principalement des documents du département des Parcs et Loisirs) / Annonce un service gratuit de surveillance de crédit de 12 mois pour tous les employés
  • 12 août 2025 : Opération Secure St. Paul Phase 1 terminée (plus de 2 000 personnes traitées)
  • Fin août 2025 : Les services téléphoniques, les paiements de factures d’eau en ligne, les systèmes de paiement des parcs et loisirs commencent une récupération progressive

Juillet 2025 : Défaillance du système de Saint Paul

Les premiers signes suspects à Saint Paul ont été détectés le vendredi matin 25 juillet 2025.
Les systèmes de sécurité automatisés de la ville ont détecté une “activité suspecte.” Mais c’était déjà trop tard.

L’attaque des hackers s’est poursuivie tout le week-end. Du 25 au 27 juillet, la ville entière était essentiellement sous siège numérique.
Pour éviter d’autres dommages, les autorités municipales ont pris la décision drastique de fermer tous les systèmes d’information le dimanche 27 juillet.

Quelles ont été les conséquences ?
Le Wi-Fi de l’hôtel de ville et des bibliothèques publiques s’est complètement éteint, et les systèmes de paiement en ligne ont été totalement paralysés.
Les citoyens n’avaient aucun moyen de payer leurs factures d’eau.

Ils ont réussi à maintenir le 911 (numéro d’urgence américain) en service - ce qui, vous savez, est plutôt critique.
Mais tous ces autres services dont les gens dépendent ? Les paiements de factures d’eau,
les archives municipales, les systèmes internes… tout hors ligne.

État d’urgence

Le 29 juillet, le maire de Saint Paul, Melvin Carter, a décidé qu’ils ne pouvaient plus tenir.
Il a officiellement annoncé qu’il ne s’agissait pas simplement d’une erreur système, mais plutôt “d’une attaque numérique intentionnelle et coordonnée par des acteurs externes sophistiqués.”

Il a immédiatement déclaré un état d’urgence local.
Cela montre à quel point la situation était devenue grave.

Le gouverneur du Minnesota, Tim Walz, a également émis un décret exécutif ce soir-là, déployant l’équipe de protection cybernétique de la Garde nationale du Minnesota.
La raison officielle était que “l’ampleur et la complexité de l’attaque dépassaient les capacités de réponse de la ville.”
Pensez-y - déployer la Garde nationale pour une cyberattaque sur une ville… c’est absolument sans précédent.

Le FBI s’est impliqué. Deux grandes entreprises de cybersécurité aussi. Tout le monde se démmenait.

L’identité d’Interlock

Ce n’est que le 10 août que l’identité des attaquants a été révélée.
Lors d’une conférence de presse, le maire Carter a révélé qu’il s’agissait de l’œuvre d’un groupe ransomware appelé “Interlock.” (Ce qui, honnêtement, a pris beaucoup plus de temps qu’on ne le penserait.)

Interlock n’est pas n’importe quel groupe de hackers.
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) avait émis un avertissement à leur sujet seulement trois jours avant l’attaque.
Le maire Carter les a décrits comme “une organisation sophistiquée, motivée financièrement, qui cible les entreprises, les hôpitaux et les agences gouvernementales, volant et vendant des téraoctets d’informations sensibles.”

Leur demande était simple :
Payez-nous de l’argent.

Le montant exact ? Personne ne le dit. Mais St. Paul n’a pas cédé.
Et c’est là que les choses se sont gâtées.

Représailles et fuite de données citoyennes

Lorsque la ville a refusé de payer la rançon, les représailles d’Interlock ont commencé.
Le 11 août, ils ont publié 43 Go de données volées à Saint Paul sur Internet.

Heureusement, la plupart des données divulguées provenaient des lecteurs partagés du département des Parcs et Loisirs.
Elles comprenaient des documents de travail, des copies de pièces d’identité que les employés avaient soumises aux RH, et même des recettes de cuisine personnelles - décrites comme des matériaux “divers et non systématiques.”

Mais ne sachant pas quelles autres données pourraient fuiter, la ville devait rassurer ses citoyens.
La ville a annoncé qu’elle fournirait à tous les employés 12 mois de surveillance de crédit gratuite et de services de protection contre le vol d’identité.
C’était une mesure de précaution au cas où des informations plus sensibles auraient été compromises.

Lancement de l’opération de récupération

Pour restaurer leurs systèmes, Saint Paul a lancé une opération massive.
Appelée “Operation Secure St. Paul,” cet effort a nécessité que tous les environ 3 500 employés municipaux se rassemblent dans le sous-sol du Roy Wilkins Auditorium et fassent la queue devant environ 80 ordinateurs installés là-bas.

Les employés devaient présenter leurs pièces d’identité et numéros d’employés, passer environ 30 minutes à réinitialiser les mots de passe et subir des contrôles de sécurité sur leurs ordinateurs portables de travail.
Ce processus s’est poursuivi pendant trois jours du 10 au 12 août, de 6h du matin à 22h.
C’était une réinitialisation complète. Ils ont dû passer un moment incroyablement difficile.

Ce n’est qu’après avoir réinitialisé toutes les informations de compte
qu’ils ont pu commencer à redémarrer les systèmes un par un.

Qu’est-ce qu’un ransomware ?

Petit rappel sur les ransomwares, au cas où vous ne seriez pas familier.

C’est essentiellement une prise d’otages numérique.
Le logiciel s’infiltre dans votre système, verrouille tous vos fichiers importants avec un chiffrement, et ensuite - voici le truc - exige un paiement pour les déverrouiller.
Du genre “payez ou perdez tout”.

Les attaquants de ransomware d’aujourd’hui sont devenus plus sournois.
Ils ne se contentent pas de chiffrer les fichiers - ils volent des données importantes au préalable.
Ainsi, lorsque les victimes refusent de payer, ils ajoutent une autre menace : “Alors nous publierons les informations personnelles de vos clients ou citoyens sur Internet.”

C’est ce qu’on appelle la “Double Extorsion.”

Les motivations des criminels

Alors pourquoi ces criminels investissent-ils tant de temps et d’efforts dans ces infections ?

L’argent, évidemment.
Ces attaques rapportent vraiment gros - on parle de centaines de milliers, parfois de millions par coup. Quand vous ciblez des hôpitaux ou des gouvernements municipaux, le gain peut être massif.
C’est pourquoi tout le monde saute dans le train.

Ensuite, il y a tout ce truc de RaaS - Ransomware as a Service.
Pensez modèle de franchise : de grands groupes comme Interlock construisent les outils, des hackers plus petits
mènent les attaques réelles, tout le monde partage les profits.
Un arrangement du genre “je m’occupe de la tech, tu fais le sale boulot”.

La cryptomonnaie a aussi facilité les choses.
Les paiements en Bitcoin sont presque impossibles à tracer, donc les criminels se sentent beaucoup plus en sécurité pour demander des rançons de cette façon.

Et franchement ? Il y a encore des tonnes de cibles faciles là-bas.
Gouvernements locaux, petites entreprises - beaucoup n’investissent pas assez dans la sécurité.
Ils pensent “ça ne nous arrivera pas” jusqu’à ce que ça arrive.
Alors c’est trop tard.

Et il y a encore beaucoup de cibles avec une cybersécurité faible.
En particulier, les gouvernements locaux et les petites entreprises ont souvent des investissements en sécurité insuffisants, ce qui facilite la pénétration des hackers.
Ils pensent “rien de grave ne nous arrivera…” et deviennent complaisants, puis sont complètement dévastés lors de la première attaque.

Voici le truc avec la cybersécurité : Si un hacker veut vraiment entrer, il
finira par y arriver. Chaque système a des vulnérabilités.
La question n’est pas “peuvent-ils s’introduire ?” mais “combien de temps cela leur prendra-t-il ?” Une sécurité solide vous fait gagner du temps - parfois suffisamment pour qu’ils abandonnent et passent à autre chose.

Ce que nous pouvons faire

Alors comment pouvons-nous nous protéger de telles attaques ?

Les sauvegardes sont votre filet de sécurité.
Stockez des copies de fichiers importants sur des disques externes ou un stockage cloud - quelque part séparé de votre système principal.
De cette façon, si un ransomware frappe, vous n’êtes pas complètement foutu.
Juste une chose : ne laissez pas les disques de sauvegarde connectés en permanence à votre ordinateur.
Ils peuvent aussi être chiffrés si le malware se propage.
Ouais, c’est un peu galère de les débrancher à chaque fois, mais ça en vaut la peine.

Gardez tout à jour.
Je sais, je sais - les notifications de mise à jour sont agaçantes.
Mais ces correctifs de sécurité existent pour une raison.
Quand votre OS ou logiciel vous invite à mettre à jour, ne reportez pas.
Les hackers recherchent spécifiquement des systèmes fonctionnant avec des logiciels obsolètes ayant des vulnérabilités connues.
Prenez l’habitude d’installer les mises à jour dès qu’elles sont disponibles.

Traitez les e-mails suspects comme du poison.
Voici le truc - la plupart des ransomwares n’apparaissent pas magiquement sur votre ordinateur.
Ils ont besoin que vous les laissiez entrer, généralement via un e-mail de phishing.
Cette pièce jointe de quelqu’un que vous ne connaissez pas ? Supprimez-la.
Ce lien dans un message bizarre ? Ne cliquez pas.
Si quelque chose vous semble louche dans un e-mail, c’est probablement le cas.
Faites confiance à votre instinct.

Utilisez des mots de passe forts et activez l’authentification à deux facteurs.
Un mot de passe différent pour chaque compte - oui, c’est pénible de tous les retenir, mais c’est à ça que servent les gestionnaires de mots de passe.
Et activez l’authentification à deux facteurs partout où c’est possible.
Cela ajoute une couche supplémentaire qui rend la vie beaucoup plus difficile aux attaquants essayant de pirater vos comptes.

Faites de vous une cible difficile.
Voici ce que savent les experts en sécurité : si un hacker déterminé veut vraiment entrer dans un système spécifique, il finira par trouver un moyen.
Mais voici la bonne nouvelle - la plupart des hackers ne sont pas si patients.
Ils cherchent des victoires faciles, pas des défis.
Donc empilez les mesures de sécurité.
Mots de passe forts, authentification à deux facteurs, logiciels à jour, paramètres de pare-feu - tout.
Rendez votre système suffisamment ennuyeux à craquer, et les hackers passeront généralement à des cibles plus faciles.
Ils gèrent une entreprise, après tout.
Le temps, c’est de l’argent, même pour les criminels.

Conscience de sécurité quotidienne

En fait, je me suis beaucoup remis en question en recherchant cet incident de Saint Paul.
Je pense que j’ai été trop complaisant concernant la cybersécurité dans ma vie quotidienne.

Notre vie quotidienne est inséparable de la technologie numérique, non ?
De la banque en ligne aux achats, aux réseaux sociaux et au travail…
Presque tout se fait en ligne, mais notre intérêt pour la sécurité a été insuffisant.

Surtout la pensée “qui hackerait une personne ordinaire comme moi ?” semble vraiment dangereuse.
Les ransomwares se propagent souvent de manière indiscriminée plutôt que de cibler des individus spécifiques.
C’est comme jeter un grand filet pour attraper tous les poissons qui s’y prennent.

J’ai aussi réalisé que si je suis attaqué, je ne devrais pas le cacher ou essayer de le résoudre seul.
Comme l’a fait Saint Paul, je devrais ouvertement demander de l’aide et travailler avec des experts pour le résoudre.

À travers cet incident de ransomware de Saint Paul, j’ai pris conscience de l’importance de la cybersécurité.
C’était choquant qu’une ville entière puisse être paralysée, et effrayant que de telles attaques deviennent de plus en plus sophistiquées.

Alors voilà, c’est l’histoire de St. Paul. Flippant, non ?

Comment est votre configuration de sécurité ? Vous avez des histoires d’horreur ou des conseils à partager ?
Mettez-les dans les commentaires - j’aimerais vraiment entendre ce que vous en pensez tous.