200 000 victimes, 150 pays: Le premier bilan de la cyberattaque mondiale


« Nous n’avions encore jamais rien vu de tel », a dit l’agence Europol, qui craint que le nombre de victimes, « essentiellement des entreprises », ne continue à croître.




Un exemple d’ordinateur du NHS (National Health Service, l’équivalent de la Sécurité sociale au Royaume-Uni) piraté vendredi 12 mai.

La cyberattaque mondiale qui frappe la planète depuis vendredi 12 mai a fait « 200 000 victimes, essentiellement des entreprises, dans au moins 150 pays », a affirmé dimanche le directeur d’Europol, Rob Wainwright, dans un entretien accordé à la chaîne britannique ITV.

En moins de vingt-quatre heures, le programme a frappé de très nombreux ordinateurs et perturbé le fonctionnement d’administrations et d’entreprises partout dans le monde.

« Nous menons des opérations contre environ 200 cyberattaques par an mais nous n’avions encore jamais rien vu de tel », a souligné le patron d’Europol, qui craint que le nombre de victimes ne continue à croître « lorsque les gens retourneront à leur travail lundi et allumeront leur ordinateur ».

Loading...

Que sait-on de cette cyberattaque ?

Un programme informatique, baptisé WanaCrypt0r 2.0, s’est déployé à très grande vitesse vendredi à travers la planète. Ce logiciel malveillant, de la famille des « rançongiciels » (ransomware), chiffre le contenu des ordinateurs sur lesquels il est installé pour le rendre inaccessible à leur propriétaire, et réclame une rançon de 300 dollars, à payer en bitcoins, pour le déverrouiller.

La propagation du logiciel peut se faire de deux manières : lorsqu’un utilisateur ouvre une pièce jointe corrompue (document Word ou PDF), mais aussi par le réseau local : WanaCrypt0r 2.0 est un logiciel élaboré, qui « scanne » l’infrastructure réseau depuis les machines sur lesquelles il est installé, pour se diffuser ensuite à toutes les machines proches.

Si ces logiciels sont plutôt courants, WanaCrypt0r 2.0 se distingue des autres par l’extrême rapidité de sa diffusion. Les chiffres annoncés dimanche par Europol en fait la plus importante diffusion d’un logiciel de ce type de l’histoire.

Difficile identification des coupables

Cette attaque a affecté les hôpitaux britanniques, le constructeur automobile français Renault – dont un porte-parole a annoncé dimanche que la quasi totalité des usines touchées devraient être en mesure de redémarrer leur activité lundi – le système bancaire russe, le groupe américain FedEx ou encore des universités en Grèce et en Italie. Samedi, Europol a annoncé qu’une équipe dédiée au sein de son Centre européen sur la cybercriminalité avait été « spécialement montée pour aider » l’enquête internationale chargée d’identifier les coupables.

Si les motivations des pirates ne sont pas encore connues, pour Guillaume Poupard, le patron de l’Agence nationale de la sécurité des systèmes d’information, le garde du corps numérique de l’Etat, « tout, dans ce scénario, fait penser à une attaque criminelle ». « Je peux me tromper, mais je ne pense pas qu’on soit dans un scénario étatique. Nous sommes plutôt face à une tentative de chantage classique. »

Selon The Guardian, les concepteurs de ce logiciel avaient déjà publié un premier rançongiciel au fonctionnement similaire, mais n’utilisant pas la même faille de sécurité, baptisé WeCry, dont l’existence avait été signalée en février.

Mise à jour de Windows et coup de chance

WanaCrypt0r 2.0 s’appuie sur une faille de sécurité de Microsoft Windows dont l’existence n’a été révélée que très récemment. La faille avait déjà été corrigée par Microsoft peu avant, mais l’entreprise a dû diffuser en urgence ce samedi un patch, y compris pour Windows XP – une version pour laquelle Microsoft n’effectue normalement plus de mises à jour, et particulièrement vulnérable à cette faille de sécurité. Le logiciel semble avoir surtout touché des machines utilisant d’anciennes versions de Windows – les utilisateurs de Windows 10 sont a priori à l’abri, selon Microsoft.

La propagation massive de WanaCrypt0r 2.0 était quasi stoppée samedi après-midi, en raison d’un coup de chance. Un chercheur en sécurité informatique, qui avait remarqué la présence d’une URL (adresse de site Web) dans le code informatique du logiciel a acheté le nom de domaine correspondant. Sans le savoir, sa démarche a en fait entravé la diffusion du ransomware, conçu pour cesser de fonctionner si ce nom de domaine devient actif. La publication du correctif de Microsoft samedi matin a également pu ralentir la diffusion du logiciel. En début d’après-midi, les entreprises spécialisées notaient une diminution très rapide du nombre de nouveaux cas de contamination.

Inquiétudes pour les prochains jours

Le National Cyber Security Centre, organisme du gouvernement britannique chargé de la cybersécurité, s’est réjoui dimanche dans un communiqué qu’il n’y ait « pas eu de nouvelles attaques soutenues de ce type » dans le courant du week-end. Néanmoins, l’organisation s’inquiète pour ce début de semaine. « Alors qu’une nouvelle semaine de travail commence, il est probable, au Royaume-Uni et ailleurs, que d’autres cas de ransomware apparaissent, à une échelle potentiellement significative. » Des spécialistes de la sécurité informatique disent d’ailleurs avoir repéré, ce week-end, des variantes de ce rançongiciel. Il n’est pas exclu qu’une autre version du logiciel, aussi agressive que celle de vendredi, parvienne à contourner la solution trouvée presque par hasard.

Une source du ministère de la Technologie, de l’innovation et de la communication, à Maurice, nous affirme que les différents systèmes du gouvernement sont tous mis à jour. « Nous utilisons des outils qui sont à jour. Seules les anciennes versions de Windows sont affectées. Microsoft avait déjà publié le patch en mars, mais beaucoup de gens n’ont malheureusement pas pris la peine de faire la mise à jour. » Selon cette source, une fois un système affecté par un ransomware, l’ultime recours est le formatage du système. Le seul hic, c’est que le procédé implique une perte de toutes les données.




Loading...