Vague de cyberattaques : ce qu'il faut retenir de ce piratage mondial
Les virus utilisés cryptent les données contenues sur un ordinateur avant de réclamer une rançon à son utilisateur. L'entreprise Renault a annoncé ce samedi avoir été touchée.
L'attaque est mondiale. Plusieurs dizaines de pays ont été la cible vendredi d'une vague de cyberattaques simultanées. selon la police française, il y a «plus de 75.000 victimes dans le monde», un chiffre encore provisoire. Les virus utilisés exploiteraient une faille dans les système Windows, divulguée dans des documents piratés de l'agence de sécurité américaine NSA. Ils cryptent les données contenues sur un ordinateur afin d'exiger de son propriétaire une rançon en échange d'une clé de décodage.
«Nous avons reçu de multiples rapports d'infection par un logiciel de rançon», a écrit le ministère américain de la Sécurité intérieure dans un communiqué. «Particuliers et organisations sont encouragés à ne pas payer la rançon car cela ne garantit pas que l'accès aux données sera restauré». La police nationale française qualifie de «particulièrement dangereux» le mode de propagation. «Une fois la première machine infectée, il se propage à l'ensemble du réseau sur lequel il est connecté, paralysant ainsi tous les ordinateurs dont il chiffre les fichiers», précise la police.
Le groupe Renault touché par l'attaque
Selon les analystes de Forcepoint Security Labs, l'attaque toucherait des organisations en Australie, en Belgique, en Allemagne, en Italie, en Espagne et au Mexique. Il s'agirait «d'une campagne majeure d'emails malveillants» avec quelque 5 millions d'emails envoyés chaque heure répandant le logiciel malveillant appelé WCry, WannaCry, WanaCrypt0r, WannaCrypt ou Wana Decrypt0r. Le ministère de l'Intérieur russe a également annoncé avoir été touché par un virus informatique vendredi, même s'il n'a pas été précisé s'il s'agit bien de la même attaque.
La France est également citée parmi les pays impactés. L'entreprise française Renault a annoncé ce samedi matin avoir été impactée par l'attaque. «Nous avons été touchés», a indiqué une porte-parole du groupe, en précisant que le constructeur était en train d'analyser la situation. «Une action est en place depuis hier soir. On fait le nécessaire pour contrer cette attaque», a-t-elle précisé. Il s'agit de la première institution française à reconnaître avoir été touchée par ces attaques.
Une porte-parole de la filiale de Renault en Slovénie, Revoz, a précisé que les ordinateurs de l'usine de Novo Mesto avaient été touchés, entraînant un arrêt de production. «Nous pouvons confirmer que vendredi 12 mai, des problèmes ont affecté une partie du système informatique de Revoz, entraînant un arrêt de production pendant la nuit. Elle reste suspendue samedi. Les problèmes sont principalement liés à la France où certains sites de Renault ont aussi subi des dysfonctionnements», selon elle.
Vendredi, l'Agence nationale de la sécurité des systèmes d'informations (Anssi) avait lancé un bulletin d'alerte.
L'office central de lutte contre la criminalité liée aux technologies de l'information et de la communication, a été saisi dès vendredi soir. Une enquête a été ouverte pour «accès et maintient frauduleux dans des systèmes automatisés de données», «entraves au fonctionnement» de ces systèmes et «extorsions et tentatives d'extorsions», selon une source judiciaire.
LIRE AUSSI
> Comment se protéger de ces attaques?
Des hôpitaux paralysés au Royaume Uni
Au Royaume Uni, plusieurs organisations du service public de santé (NHS), dont des hôpitaux, ont été ciblés, les obligeant à annuler des rendez-vous. «Un certain nombre d'organisations ont rapporté avoir été affectées par des attaques informatiques», a expliqué le NHS dans un communiqué, soulignant que «l'enquête en est à son début».
«A ce stade, nous n'avons pas d'élément permettant de penser qu'il y a eu accès à des données de patients», a précisé le NHS. Cette attaque n'était «pas spécifiquement dirigée contre le NHS et touche d'autres secteurs», a-t-il encore indiqué, sans donner de précision. «Cela ne vise pas le NHS, c'est une attaque internationale et plusieurs pays et organisations ont été touchés», a elle-même expliqué la Première ministre britannique vendredi soir. «On nous a dit d'éteindre tous nos ordinateurs, et le wifi de nos téléphones. Aucun ordinateur ne fonctionne actuellement», ont déclaré deux employées de l'hôpital St Bartholomew, à Londres, sous couvert d'anonymat.
Des gares allemandes visées
Des panneaux d'affichages en gare ont été piratés, et plusieurs passagers allemands ont posté sur Twitter des photos de panneaux avec la demande de rançon à la place des horaires de départs et d'arrivées. «Le trafic n'est pas affecté par le virus et il n'y a aucune perturbation ni sur les grandes lignes ni sur les lignes régionales», a cependant assuré la compagnie ferroviaire publique Deutsche Bahn.
Une mise à jour réactivée par Microsoft
Microsoft a publié un patch de sécurité il y a quelques mois pour réparer cette faille, mais de nombreux systèmes n'ont pas encore été mis à jour. Selon la société Kaspersky, le logiciel malveillant a été publié en avril par le groupe de pirates «Shadow Brokers», qui affirme avoir découvert la faille informatique par la NSA.
«Contrairement à des virus normaux, ce virus se répand directement d'ordinateur à ordinateur sur des serveurs locaux, plutôt que par email», a précisé Lance Cottrell, directeur scientifique du groupe technologique américain Ntrepid. «Ce logiciel de rançon peut se répandre sans que qui que ce soit ouvre un email ou clique sur un lien». «Des logiciels de rançon sont particulièrement vicieux quand ils infectent des institutions comme des hôpitaux, où la vie de patients est mise en danger», a repris Jakub Kroustek, analyste au sein de la firme de sécurité informatique Avast.
«Si la NSA avait discuté en privé de cette faille utilisée pour attaquer des hôpitaux quand ils l'ont 'découverte', plutôt que quand elle leur a été volée, ça aurait pu être évité», a regretté sur Twitter Edward Snowden, l'ancien consultant de l'agence de sécurité américaine qui avait dévoilé l'ampleur de la surveillance de la NSA en 2013. Samedi après-midi, Microsoft a réactivé la mise à jour de sécurité pour les utilisateurs qui ne l'avaient pas installée lors de sa première sortie.
