Ce qu’on sait de la cyberattaque qui a frappé le monde entier mardi

Le virus est parti d’Ukraine et de Russie avant de se propager au monde entier. L’origine exacte de ce rançongiciel n’est pas encore complètement définie, mais il utilise la même faille de sécurité Windows que WannaCry en mai dernier.

Plus de 2.000 réseaux d’entreprise et d’institutions ont déjà été infectés. Depuis mardi 27 juin, une vague de cyberattaques a frappé de nombreuses entreprises dans le monde entier, partant d’Ukraine et de Russie avant de se propager à l’ensemble de la planète. Le point sur cette attaque.

Une cyberattaque partie de l’Ukraine et de la Russie

Les virus ont d’abord infecté des ordinateurs basés en Russie et en Ukraine. C’est dans ce dernier pays, le plus touché par l’attaque, que le « patient zéro » aurait été contaminé. Selon l’entreprise de sécurité Cisco Telos, il s’agit de MeDoc, une entreprise qui a développé un logiciel de comptabilité. Cette société a ensuite envoyé des dossiers contaminés à ses différents clients.

Tout est ensuite allé très vite. Le site du gouvernement ukrainien a été bloqué tout comme celui de la centrale nucléaire de Tchernobyl. Les banques, également infectées, éprouvent des difficultés à prendre en charge leurs clients et à faire des opérations bancaires. À Kiev, les usagers du métro ne peuvent plus acheter de tickets par carte tandis qu’à l’aéroport la plupart des panneaux d’affichage sont éteints. Le Premier ministre Volodymyr Groïsman a ainsi évoqué une attaque « sans précédent ».

Le Conseil de sécurité ukrainien a estimé que la cyberattaque « menait sur une piste russe ». Pourtant la Russie est également éprouvée: plusieurs banques ont été infectées, tout comme le géant du pétrole Rosneft. Plus de 80 entreprises en Russie et en Ukraine sont infectées.

De nombreuses multinationales touchées dont des françaises

Avec l’Ukraine comme épicentre, cette vague de cyberattaques s’est rapidement propagée à l’Europe puis aux États-Unis. En France Saint-Gobain, la SNCF ou encore Auchan sont touchés. Le groupe de BTP a indiqué « avoir isolé ses systèmes informatiques ». Du côté de la compagnie ferroviaire, un porte-parole a indiqué que les opérations de l’entreprise n’étaient pas affectées.

La liste des autres grands groupes attaqués est longue. On compte ainsi le géant britannique de la publicité WPP, le mastodonte danois du transport maritime Maersk ou encore la marque de cosmétiques Nivea. Pour cette dernière, sa maison-mère, le groupe allemand Beiersdorf, a indiqué que « plus rien ne fonctionn(ait) au siège ». Aux États-Unis, c’est la société pharmaceutique Merck qui a été touchée tandis qu’en Australie, une usine de chocolat de la société britannique Cadbury est à l’arrêt, selon le Guardian. L’Asie n’est pas épargnée. Zheng Wenbin, ingénieur chez l’entreprise de sécurité Qihoo 360, a indiqué à Bloomberg que « des signes montrent que le virus a commencé à se répandre en Chine ».

Un mode opératoire proche de celui de WannaCry

Cette cyberattaque n’est pas sans rappeler WannaCry qui avait sévi en mai, touchant 300.000 ordinateurs. Comme ce dernier, il s’agit d’un ransomware (ou rançongiciel en français), un logiciel malveillant qui prend en otage des fichiers ou des données et demande ensuite une rançon pour envoyer la clef de décryptage. « Certains de mes collègues ont vu s’afficher des choses étranges, puis l’écran noir et le message nous demandant 300 dollars pour récupérer nos données », témoigne ainsi un chef de service de Saint-Gobain sous couvert d’anonymat. Ces 300 dollars doivent être versés via une crypto-monnaie sur un compte dont les coordonnées sont indiquées dans le message.

Par ailleurs, ce ransomware utilise plusieurs techniques pour se propager dont la même faille de sécurité de Windows qu’exploitait WannCry. Microsoft l’a d’ailleurs confirmé mardi soir. Cette faille aurait été à l’origine utilisée par l’outil EternalBlue de la NSA. Elle fut révélée par le groupe de hackers Shadowbrokers et avait fait l’objet d’un correctif en mai dernier de la part de Microsoft sur l’ensemble de ses systèmes d’exploitation allant de XP jusqu’à Windows 10.

L’identité du Ransomware en débat

Les experts divergent sur l’identité de ce rançongiciel. Certains spécialistes considèrent que le virus responsable, « Petrwrap », est une version modifiée du ransomware Petya qui s’était propagé au printemps 2016. La société russe de cybersécurité Kaspersky a au contraire affirmé dans un communiqué qu’il s’agit « d’un nouveau ransomware, qui n’a jamais été vu jusqu’ici ». Kaspersky l’a ainsi baptisé « NoPetya ».

Une enquête ouverte en France

Face à cette cyberattaque, le parquet de Paris a ouvert une enquête de flagrance pour « accès et maintien frauduleux dans des systèmes de traitement automatisé de données », « entrave au fonctionnement » de ces systèmes, « extorsions et tentatives d’extorsions ». Cette enquête est confiée à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (Oclctic).

Source: AFP

Pin It on Pinterest