Cyberattaque mondiale majeure : ce que l'on sait

 |   |  884  mots
Le virus Petwrap ou NotPetya, considéré comme la cyberattaque la plus dangereuse jamais observée, présente des caractéristiques communes avec les virus Wannacry et Petya, qui avaient fait des ravages il y a peu.
Le virus Petwrap ou NotPetya, considéré comme la cyberattaque la plus dangereuse jamais observée, présente des caractéristiques communes avec les virus Wannacry et Petya, qui avaient fait des ravages il y a peu. (Crédits : REUTERS)
Un nouveau virus paralyse depuis mardi les systèmes informatiques en chiffrant les données et en demandant une rançon pour les débloquer. Plus de deux millions de serveurs sont touchés dans le monde, dont 29.000 en France.

Un peu plus d'un mois après Wannacry, qui avait touché plus de 150 pays, le monde subit à nouveau une cyberattaque "d'une ampleur inégalée". Cette fois, le rançongiciel, ou ransomware, est parti d'Ukraine, mardi 27 juin, et s'est déployé rapidement dans toute l'Europe, aux Etats-Unis et dans le reste du monde.

Le mode opératoire est similaire à celui de Wannacry. Le virus s'est engouffré dans une faille du système d'exploitation Windows, de Microsoft, précédemment révélée par la NSA. Il paralyse les systèmes informatiques en chiffrant les données, les rendant inaccessibles au propriétaire. Pour les débloquer, il exige une rançon de 300 dollars, payable en bitcoin, une monnaie virtuelle très difficile à tracer. Après avoir réglé, la victime est censée recevoir un code lui permettant de déchiffrer les données. Le rançongiciel (contraction de "rançon" et "logiciel") touche les ordinateurs qui n'ont pas effectué la mise à jour de Windows, et donc vulnérables à la faille de sécurité.

Un virus dérivé de Wannacry baptisé Petrwrap, ExPetr ou NotPetya

Environ 29.000 serveurs seraient touchés en France et plus de 2 millions dans le monde, d'après les estimations des experts. Pour Mounir Mahjoubi, le secrétaire d'Etat au Numérique, "le niveau de cette cyberattaque est sans précédent".

Kobi Ben Naim, directeur senior de la cyber-recherche de l'entreprise de cybersécurité CyberAsk Labs, confirme :

"Actuellement, ce logiciel malveillant se répand rapidement en utilisant la vulnérabilité appelée "Eternal Blue" présente dans les systèmes Microsoft. La puissance de cette méthode d'infection est telle qu'elle a les capacités d'engendrer des dommages d'une ampleur jamais vue auparavant".

D'après plusieurs entreprises de cybersécurité, le danger vient aussi du fait que la mise à jour de Windows peut ne pas s'avérer suffisante. "Si un utilisateur clique malencontreusement sur un lien infecté par le virus, le logiciel malveillant infiltrera le réseau". Il peut donc infecter les ordinateurs "sains" à proximité.

Il s'agit donc d'une version encore plus évoluée de Wannacry, mais aussi de Petya, un virus qui avait frappé l'an dernier, que les experts appellent Petrwrap, ExPetr ou NotPetya:

"Les premiers indicateurs montrent que le ransomware en question écrase le MBR [master boot record, ou premier secteur adressable d'un disque dur, NDLR] de la même manière que Petya, s'appuie sur la faille d'exploitation EternalBlue comme Wannacry, et utilise plusieurs moyens de se déployer à travers un réseau, notamment via les outils d'administration Windows," explique l'entreprise de cybersécurité Proofpoint.

Des entreprises touchées partout dans le monde, y compris en France

Moins de 24 heures après son lancement, les dégâts de cette cyberattaque sont déjà impressionnants. Selon l'éditeur de solutions de cybersécurité Kasperky, l'Ukraine est le pays le plus touché devant la Russie et, dans une moindre mesure, la Pologne et l'Italie. En Russie et en Ukraine, Petrwarp a attaqué des dizaines de cibles aussi variées que des banques, les fabricants des confiseries Mars, onze supermarchés ukrainiens du groupe de distribution Auchan et des structures gouvernementales ukrainiennes, d'après l'entreprise russe de cybersécurité Group-IB.

Le géant pétrolier russe Rosneft a dû recourir à un serveur de secours. Le système de surveillance des radiations de la centrale nucléaire ukrainienne de Tchernobyl a été infecté, obligeant ainsi à revenir à des mesures manuelles de la radioactivité.

De nombreuses entreprises ont aussi subi des pannes informatiques à cause du virus, à l'image du transporteur maritime Maersk ou du laboratoire pharmaceutique Merck aux Etats-Unis, dont le système informatique a été "compromis". Des salariés allemands de Nivea ont dû cesser le travail. Le courant a été coupé dans les usines des biscuits Lu et Oreo, qui appartiennent au même groupe.

En France, la SNCF ou encore l'industriel Saint-Gobain ont aussi été attaqués. "Nous sommes attaqués mais pour l'instant, nous résistons. Les équipes sont sur le pont", a indiqué la SNCF au Parisien.

Le parquet de Paris ouvre une enquête, l'Etat estime qu'il est "trop tôt" pour réagir

Mardi soir, le parquet de Paris a annoncé l'ouverture d'une enquête de flagrance (c'est-à-dire dans l'urgence et motivée par le constat d'un flagrant délit) pour "accès et maintien frauduleux dans des systèmes de traitement automatisés de données", "entrave au fonctionnement" de ces systèmes et "extorsions et tentatives d'extorsions".

De son côté, l'Etat estime qu'il est "trop tôt" pour prendre des mesures. Interrogé à New York par l'AFP, Mounir Mahjoubi, le secrétaire d'Etat au Numérique, a indiqué que "des équipes travaillent à analyser cette attaque", qu'il a décrit comme "industrialisée et automatisée, fondée sur une analyse très intelligente des réseaux pour détecter les faiblesses existantes".

En attendant, que faire ? Les experts conseillent aux entreprises et aux particuliers d'effectuer les mises à jour de Windows (Microsoft avait déjà signalé la faille et incité ses utilisateurs à adopter la dernière version de leurs logiciels) et de ne pas payer la rançon en cas d'infection.

L'Agence Nationale de la sécurité des systèmes d'information (ANSSI) a publié des recommandations pour se prémunir face aux virus.

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 29/06/2017 à 7:58 :
Le virus se déplace par mail en pièce jointe !
Réponse de le 30/06/2017 à 16:25 :
Non. Pas par mail. A moins qu'un serveur ouvre un mail d'un de ses potes serveur, chose non encore vue... Quoique, vu la croyance de l' "Intelligence Narcotificielle", on est plus à ça près...
a écrit le 28/06/2017 à 16:21 :
Le virus arrive par mail sous forme de pièce jointe , si vous avez un doute ne pas ouvrir la pièce jointe! Un test simple à faire : le renvoyer à l’expéditeur, si vous recevez un message d'erreur concernant l'envoi via votre fournisseur d'accès .... c'est probablement le cas virale !

Bon je n'ai pas ce souci, étant sous Linux!
Réponse de le 29/06/2017 à 11:06 :
"bon je n'ai pas de souci, étant sous Linux"
une remarque a mon sens erroné
Il est vrai que les systèmes fonctionnant avec Windows sont les plus attaqués. Cela ne veut pas dire que les autres système comme Linux soient mieux protégés. Etant beaucoup mois répandu, les hackers sont donc moins intéressés. Leur attaque aurait moins de portée.
Pourtant, avec son code libre, pirater Linux doit être plus facile.
Ce qui m'étonne dans cette dernière attaque c'est que ce sont surtout les entreprises et leurs serveurs qui ont été touchés. Les serveurs des entreprises ne fonctionnent pas tous sous Windows. Ce sont le plus souvent des systèmes propriétaires des fabricants d'ordinateur. Pour éviter de payer une licence beaucoup sont sous Linux.
Par ailleurs je ne suis pas sur que ce virus ait été distribué dans une pièce jointe de la messagerie. Ce mode de distribution concerne plutot les virus destinés au grand public
Réponse de le 29/06/2017 à 12:52 :
@ gerard71
Eh bien non, car linux est plus sécurisé de par sa conception que linux:
tous les ports sont ouverts sous Win et il faut les fermer manuellement ; sous Linux, tous est fermé par défaut et il faut ouvrir ce que nécéssaire.
Il est impossible d'installer un logiciel ou d'exécuter certains types de code sans le mot de passe root, et cela systématiquement. De plus le code source ouvert permet de vérifier bien plus facilement et par plus de monde s'il y a des failles, et surtout de pouvoir écrire et appliquer des correctifs beaucoup plus rapidement.
etc
a écrit le 28/06/2017 à 16:15 :
Et VIVE les backdoors de la nsa... Merci les gars, et félicitations à microsoft pour le coup de main!
a écrit le 28/06/2017 à 15:39 :
En gros vous avez des entreprises avec des ordinateurs dont le systeme d exploitation est perimé depuis des années (plus de support de XP de la part de MS), qui n ont rien fait alors que la derniere attaque (wannacry) a montré leur vulnerabiulité ...
Autant je peux le comprendre pour la PME du coin qui peine a degager du benefice, mais pour des multinationales .... A force de vouloir faire des economies , on en arrive a que ca coute bien plus cher !

Dans le meme ordre d idee, je suis pret a parier que dans 10 ans, la mode du cloud actuelle va faire que des societes seront completement bloquees (voire coulees) car toute leur informatique est chez un prestataire qui a subi une attaque, fait faillite, victime d une saisie ou simplement qu un concurrent a copie leurs données (ex le fichier client) puis les a verolée (histoire qu ils ne puisse plus rien produire) ...
a écrit le 28/06/2017 à 15:33 :
"Les équipes sont sur le pont". S'ils avaient été sur le pont au moment de faire les mises à jours ils seraient tranquillement en train de boire un café maintenant au lieu de suer...
Réponse de le 28/06/2017 à 18:10 :
Probablement pas de leur fautes aux equipes. Je doute que ca soit eux qui aient decide de garder des systemes obsoletes. Par contre, le management qui a du dire "non ca coute trop cher", lui est coupable
a écrit le 28/06/2017 à 15:06 :
J'ai quitté Windows pour Linux, il a bien longtemps, plus rapide et plus sécurisé ! Pas de défragmentation du disque dur ! C'est gratuit ... au choix soit les deux systèmes sur son ordi soit uniquement Linux.
Réponse de le 28/06/2017 à 18:39 :
coco : si tout le monde passe sous Linux, les pirates passeront également

le fait que tu sois préservé provient de ta rareté... comme les utilisateurs MacOS... mais cela impose des limitations que tu ne cites pas... peut être n'as tu pas besoin de toutes les fonctionnalités windows pour ton métier
a écrit le 28/06/2017 à 14:10 :
Voila comment certains vont sortir le monde de la crise des dettes privées et publiques.
La monnaie est soumise à l'entropie mais peut faire l'objet d'un reset !
on nous prépare progressivement à des pertes mondiales de l'information économique, une sorte de guerre sans dégât matériel, pas de coupables, une attaque cyber !
a écrit le 28/06/2017 à 12:44 :
m'en fout, suis sous Linux!!!
Réponse de le 29/06/2017 à 11:10 :
Linux ne protège pas mieux. Simplement moins répandu il intéresse moins les hackers. Pourtant avec le code libre de son système, découvrir les failles doit etre facile. Et croyez moi il doit avoir autant de failles que dans le autres systèmes
a écrit le 28/06/2017 à 12:10 :
Il n' y aura jamais de sécurité, donc suivre des effets de "mode" et confier tout ses secrets au numérique ne sera que désillusion!

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :