2. Technos & Medias

Cyberattaque mondiale majeure : ce que l'on sait

Par Sylvain Rolland  |   |  884  mots
Le virus Petwrap ou NotPetya, considéré comme la cyberattaque la plus dangereuse jamais observée, présente des caractéristiques communes avec les virus Wannacry et Petya, qui avaient fait des ravages il y a peu.
Un nouveau virus paralyse depuis mardi les systèmes informatiques en chiffrant les données et en demandant une rançon pour les débloquer. Plus de deux millions de serveurs sont touchés dans le monde, dont 29.000 en France.

Un peu plus d'un mois après Wannacry, qui avait touché plus de 150 pays, le monde subit à nouveau une cyberattaque "d'une ampleur inégalée". Cette fois, le rançongiciel, ou ransomware, est parti d'Ukraine, mardi 27 juin, et s'est déployé rapidement dans toute l'Europe, aux Etats-Unis et dans le reste du monde.

Le mode opératoire est similaire à celui de Wannacry. Le virus s'est engouffré dans une faille du système d'exploitation Windows, de Microsoft, précédemment révélée par la NSA. Il paralyse les systèmes informatiques en chiffrant les données, les rendant inaccessibles au propriétaire. Pour les débloquer, il exige une rançon de 300 dollars, payable en bitcoin, une monnaie virtuelle très difficile à tracer. Après avoir réglé, la victime est censée recevoir un code lui permettant de déchiffrer les données. Le rançongiciel (contraction de "rançon" et "logiciel") touche les ordinateurs qui n'ont pas effectué la mise à jour de Windows, et donc vulnérables à la faille de sécurité.

Un virus dérivé de Wannacry baptisé Petrwrap, ExPetr ou NotPetya

Environ 29.000 serveurs seraient touchés en France et plus de 2 millions dans le monde, d'après les estimations des experts. Pour Mounir Mahjoubi, le secrétaire d'Etat au Numérique, "le niveau de cette cyberattaque est sans précédent".

Kobi Ben Naim, directeur senior de la cyber-recherche de l'entreprise de cybersécurité CyberAsk Labs, confirme :

"Actuellement, ce logiciel malveillant se répand rapidement en utilisant la vulnérabilité appelée "Eternal Blue" présente dans les systèmes Microsoft. La puissance de cette méthode d'infection est telle qu'elle a les capacités d'engendrer des dommages d'une ampleur jamais vue auparavant".

D'après plusieurs entreprises de cybersécurité, le danger vient aussi du fait que la mise à jour de Windows peut ne pas s'avérer suffisante. "Si un utilisateur clique malencontreusement sur un lien infecté par le virus, le logiciel malveillant infiltrera le réseau". Il peut donc infecter les ordinateurs "sains" à proximité.

Il s'agit donc d'une version encore plus évoluée de Wannacry, mais aussi de Petya, un virus qui avait frappé l'an dernier, que les experts appellent Petrwrap, ExPetr ou NotPetya:

"Les premiers indicateurs montrent que le ransomware en question écrase le MBR [master boot record, ou premier secteur adressable d'un disque dur, NDLR] de la même manière que Petya, s'appuie sur la faille d'exploitation EternalBlue comme Wannacry, et utilise plusieurs moyens de se déployer à travers un réseau, notamment via les outils d'administration Windows," explique l'entreprise de cybersécurité Proofpoint.

Des entreprises touchées partout dans le monde, y compris en France

Moins de 24 heures après son lancement, les dégâts de cette cyberattaque sont déjà impressionnants. Selon l'éditeur de solutions de cybersécurité Kasperky, l'Ukraine est le pays le plus touché devant la Russie et, dans une moindre mesure, la Pologne et l'Italie. En Russie et en Ukraine, Petrwarp a attaqué des dizaines de cibles aussi variées que des banques, les fabricants des confiseries Mars, onze supermarchés ukrainiens du groupe de distribution Auchan et des structures gouvernementales ukrainiennes, d'après l'entreprise russe de cybersécurité Group-IB.

Le géant pétrolier russe Rosneft a dû recourir à un serveur de secours. Le système de surveillance des radiations de la centrale nucléaire ukrainienne de Tchernobyl a été infecté, obligeant ainsi à revenir à des mesures manuelles de la radioactivité.

De nombreuses entreprises ont aussi subi des pannes informatiques à cause du virus, à l'image du transporteur maritime Maersk ou du laboratoire pharmaceutique Merck aux Etats-Unis, dont le système informatique a été "compromis". Des salariés allemands de Nivea ont dû cesser le travail. Le courant a été coupé dans les usines des biscuits Lu et Oreo, qui appartiennent au même groupe.

En France, la SNCF ou encore l'industriel Saint-Gobain ont aussi été attaqués. "Nous sommes attaqués mais pour l'instant, nous résistons. Les équipes sont sur le pont", a indiqué la SNCF au Parisien.

Le parquet de Paris ouvre une enquête, l'Etat estime qu'il est "trop tôt" pour réagir

Mardi soir, le parquet de Paris a annoncé l'ouverture d'une enquête de flagrance (c'est-à-dire dans l'urgence et motivée par le constat d'un flagrant délit) pour "accès et maintien frauduleux dans des systèmes de traitement automatisés de données", "entrave au fonctionnement" de ces systèmes et "extorsions et tentatives d'extorsions".

De son côté, l'Etat estime qu'il est "trop tôt" pour prendre des mesures. Interrogé à New York par l'AFP, Mounir Mahjoubi, le secrétaire d'Etat au Numérique, a indiqué que "des équipes travaillent à analyser cette attaque", qu'il a décrit comme "industrialisée et automatisée, fondée sur une analyse très intelligente des réseaux pour détecter les faiblesses existantes".

En attendant, que faire ? Les experts conseillent aux entreprises et aux particuliers d'effectuer les mises à jour de Windows (Microsoft avait déjà signalé la faille et incité ses utilisateurs à adopter la dernière version de leurs logiciels) et de ne pas payer la rançon en cas d'infection.

L'Agence Nationale de la sécurité des systèmes d'information (ANSSI) a publié des recommandations pour se prémunir face aux virus.