WannaCry, c'est le nom désormais célèbre du virus informatique qui a frappé des dizaines de milliers d'ordinateurs depuis vendredi, à l'occasion d'une attaque informatique "sans précédent" qui a affecté le fonctionnement de nombreuses entreprises et organisations, dont les hôpitaux britanniques, le constructeur automobile français Renault ou encore le système bancaire russe. Egalement connu sous les noms de WannaDecryptor, WanaCrypt0r 2.0 et WCry?, ce virus s'exécute par le biais d'un logiciel de rançon malveillant installé à l'insu de l'utilisateur, il crypte et verrouille les données des utilisateurs, et exige des sommes d'argent, généralement entre 300 et 600 dollars payables en bitcoins, pour les rendre à nouveau lisibles ou débloquer certaines fonctionnalités de l'ordinateur infecté. On l'appelle le "rançongiciel".
Renault touché
L'offensive a provoqué d'importantes perturbations dans le système de santé public britannique mais aussi chez des grands groupes privés comme le transporteur américain Fedex, l'opérateur télécom espagnol Telefonica ou encore Renault, le constructeur automobile étant semble-t-il à ce stade le seul acteur français touché. Le ministère russe de l'Intérieur ou la société des chemins de fer allemands Deutsche Bahn ont également été frappés.
Une centaine de pays affectée
Cette cyberattaque a fait 200.000 victimes, essentiellement des entreprises, dans au moins 150 pays, a affirmé le directeur d'Europol, Rob Wainwright, dans une interview dimanche à la chaîne britannique ITV.
"Nous menons des opérations contre environ 200 cyberattaques par an mais nous n'avions encore jamais rien vu de tel", a souligné le patron d'Europol qui craint que le nombre de victimes continue à croître "lorsque les gens retourneront à leur travail lundi et allumeront leurs ordinateurs".
Faille dans les systèmes Windows
Selon des experts en informatique, le virus -qui exploite une faille dans les systèmes Windows, divulguée dans des documents piratés de l'agence de sécurité nationale américaine NSA-, fonctionne avec des dizaines de langages, ce qui montre la volonté des pirates de s'en prendre à des réseaux dans le monde entier.
La société Kaspersky rappelle que le logiciel malveillant a été publié en avril par le groupe de pirates "Shadow Brokers", qui affirment avoir découvert la faille informatique dans des documents volés à la NSA. Mikko Hypponen, chef de la société de sécurité informatique F-Secure, note que la Russie et l'Inde ont été particulièrement touchées parce que beaucoup de réseaux et ordinateurs dans ces deux pays tournent encore avec le logiciel Windows XP.
Peu de rançons ont été payées
Cette attaque a conduit la justice française à ouvrir une enquête pour "accès et maintien frauduleux dans des STAD (services de traitement automatisés des données), entraves au fonctionnement de STAD, extorsions et tentatives d'extorsions", a-t-on appris de source judiciaire. A Paris, une porte parole de l'Agence nationale de sécurité des systèmes d'information (ANSSI), a indiqué que, à sa connaissance "il n'y a pas d'autre victime en France que Renault pour l'instant".
Selon des experts de la sécurité informatique, la menace semblait reculer samedi, en partie grâce à l'intervention d'un chercheur britannique, qui souhaite rester anonyme, qui s'est approprié un nom de domaine auquel le virus tentait de s'attaquer, ralentissant apparemment sa propagation.
"Nous sommes sur une courbe descendante, les infections sont rares parce que le logiciel malveillant ne parvient pas à se connecter à ce nom de domaine enregistré", explique Vikram Thakur, chercheur chez Symantec, une société spécialisée dans la sécurité informatique.
Experts et autorités conseillent de ne pas payer, car il n'est pas sûr de pouvoir récupérer ses fichiers par la suite. L'ancien hacker espagnol Chema Alonso, devenu responsable de la cybersécurité de Telefonica, a estimé samedi sur son blog que malgré "le bruit médiatique qu'il a produit, ce +ransomware+ n'a pas eu beaucoup d'impact réel" car "on peut voir que sur le portefeuille bitcoin utilisé le nombre de transactions" est faible. Selon le dernier décompte, assure-t-il, seulement "6.000 dollars ont été payés" aux rançonneurs dans le monde.
Nouvelle offensive?
Il n'est toutefois pas exclu que les responsables de l'attaque modifient le code du virus et tentent de relancer leur offensive. L'Agence nationale de la sécurité des systèmes d'information (Anssi) redoute une nouvelle vague de blocages de données en France en début de semaine.
"Ma crainte c'est qu'on est en plein week-end et que lundi matin, quand les gens vont rallumer leurs machines, on ait une recrudescence", a-t-il ajouté. "Je pense bien sûr aux grandes entreprises. Mais je pense aussi aux PME, qui sont très souvent les premières victimes de ce genre de chose », a déclaré Guillaume Poupart, le président de l'Anssi.
En tout état de cause, il sera selon lui difficile de dresser un premier bilan de cette attaque avant lundi ou mardi.
D'ici là les consignes de l'Anssi privilégient la prévention : mise à jour des logiciels, sauvegardes des données séparées des réseaux, vigilance accrue vis-à-vis des mails, des pièces jointes et des liens vers des sites web, déconnexion des ordinateurs infectés, réinstallation de logiciels propres
Initiative inhabituelle, Microsoft a décidé de réactiver une mise à jour de certaines versions de ses logiciels pour contrer ce type d'attaque. Le virus s'attaque notamment à la version Windows XP, dont Microsoft n'assure plus en principe le suivi technique. Le nouveau logiciel d'exploitation (OS) Windows 10 n'est pas visé par l'attaque, souligne Microsoft.
« Quand nous mettrons le pied sur l'accélérateur, nous serons difficiles à égaler » (Joelle Pineau, directrice de la recherche en IA chez Meta)
Sujets les + commentés