Il suffit d'une faille de sécurité dans un logiciel massivement déployé pour que de nombreuses entreprises se retrouvent fragilisées. C'est ce qui est arrivé au fournisseur de logiciels américain Kaseya, basée à Miami en Floride, qui propose des outils informatiques aux petites et moyennes entreprises, dont l'outil VSA destiné à gérer leur réseau de serveurs, d'ordinateurs et d'imprimantes depuis une seule source.

Lire aussi 4 mnEtats-Unis : Biden accuse des "pirates" basés en Russie de la cyberattaque contre des oléducucs

Logiciel piraté, entre 40 et 200 entreprises touchées

Kaseya s'est rendue compte d'un possible incident sur son logiciel VSA à la mi-journée sur la côte est-américaine, juste avant un week-end prolongé par un jour férié lundi. Un rançongiciel, ou "ransomware", exploite des failles de sécurité d'une entreprise ou d'un individu pour chiffrer et bloquer ses systèmes, exigeant une rançon pour les débloquer. Par ricochet, ce sont les utilisateurs du logiciel qui se retrouvent bloqués et menacés sous peine de payer une rançon.

"Par précaution", Kaseya a immédiatement fermé les serveurs dédiés aux clients utilisant ses services à distance, qui a priori ne sont pas à risque. Elle a parallèlement "immédiatement prévenu ses clients avec son logiciel sur site par courriel, notice au sein du logiciel et par téléphone de fermer les serveurs liés au VSA afin qu'ils ne soient pas compromis". "Nous pensons avoir identifié la source de la vulnérabilité et préparons un correctif", affirme la société, qui revendique plus de 40.000 clients.

Mais la cyberattaque n'aurait pas touché tous les clients de Kaseya. L'entreprise a assuré vendredi soir avoir circonscrit l'attaque à un "très petit pourcentage" de ses clients utilisant le logiciel VSA, "actuellement estimé à moins de 40 dans le monde". Or, l'entreprise spécialisée dans la sécurité informatique Huntress Labs avait affirmé plus tôt dans la journée que 200 entreprises avaient été affectées par ce rançongiciel.

Lire aussi 2 mnPuissante cyberattaque contre Microsoft

Vague de cyberattaques contre les entreprises américaines

"Sur la base des modèles informatiques, des notes de rançongiciel et de l'URL (l'adresse internet utilisée) TOR, nous pensons fermement" qu'un affilié au groupe de hackeurs connu sous le nom de Revel ou Sodinokibi "est à l'origine de ces intrusions", indique Huntress Labs sur un message posté sur le forum Reddit.

Le FBI avait début juin attribué à ce groupe l'attaque informatique contre le géant mondial de la viande JBS qui avait paralysé pendant plusieurs jours ses activités en Amérique du Nord et en Australie.

Les Etats-Unis sont frappés ces derniers mois par une vague de cyberattaques au rançongiciel frappant aussi bien des grandes entreprises comme JBS ou le gestionnaire d'oléoducs Colonial Pipeline, que des collectivités locales et des hôpitaux.

Un grand nombre de ces attaques sont attribuées à des groupes de hackeurs basés en Russie et opérant au moins avec l'approbation tacite du Kremlin.

L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a indiqué sur son propre site vendredi être en train d'agir "pour comprendre et régler la récente attaque au rançongiciel" contre l'outil  VSA de Kaseya et les multiples fournisseurs de services de gestion informatique qui l'utilisent. Elle y "encourage les entreprises à suivre les conseils de Kaseya, notamment en suivant immédiatement leur procédure pour fermer les serveurs" liés au logiciel de Kaseya.

Lire aussi 4 mnLes entreprises sont en panne d'assurance face au risque de cyberattaques