Portail informationnel de solutions et Services, de prospective et d’innovation, Malitique vous accompagne dans votre transformation digitale.

Cyberattaques sans précédents de 2017 – Ce que l’on sait.

Ce que l’on sait des cyberattaques.

13/05/2017

L’attaque d’un “niveau sans précédent” a affecté des hôpitaux et des entreprises d’une dizaine de pays. En France, Renault a dû fermer des sites de production.

Les services de renseignements sont inquiets après la vague de cyberattaques. © AFP

Une cyberattaque de grande ampleur, « d’un niveau sans précédent », selon Europol, a touché des dizaines de pays dans le monde vendredi 12 mai. Parmi les victimes, Renault dont, fait exceptionnel, des sites de production ont été affectés, entraînant la fermeture de sites de production afin de limiter la propagation du virus.

À l’aide d’un logiciel de rançon, les pirates ont apparemment exploité une faille dans les systèmes Windows, divulguée dans des documents piratés de l’agence de sécurité américaine NSA. « Aujourd’hui, nous avons assisté à une série de cyberattaques contre des milliers d’organisations et d’individus dans des dizaines de pays », a indiqué dans un communiqué l’agence britannique de cybersécurité (NCSC) qui recommande de mettre à jour ses logiciels de sécurité et ses antivirus. « Nous avons reçu de multiples rapports d’infection par un logiciel de rançon », a écrit le ministère américain de la Sécurité intérieure dans un communiqué. « Particuliers et organisations sont encouragés à ne pas payer la rançon, car cela ne garantit pas que l’accès aux données sera restauré. »

Cette vague d’attaques informatiques de « portée mondiale » suscite l’inquiétude des experts en sécurité. Le logiciel verrouille les fichiers des utilisateurs et les force à payer une somme d’argent sous forme de bitcoins pour en recouvrer l’usage : on l’appelle le « rançongiciel ». « Nous avons relevé plus de 75 000 attaques dans 99 pays », a noté Jakub Kroustek, de la firme de sécurité informatique Avast, sur un blog. Forcepoint Security Labs, autre entreprise de sécurité informatique, évoque de son côté « une campagne majeure de diffusion d’e-mails infectés », avec quelque 5 millions d’e-mails envoyés chaque heure répandant le logiciel malveillant appelé WCry, WannaCry, WanaCrypt0r, WannaCrypt ou Wana Decrypt0r.

Renault confirme la cyberattaque

Des organisations en Espagne, en Australie, en Belgique, en France, en Allemagne, en Italie et au Mexique ont également été touchées selon des analystes. Le constructeur Renault en a été victime. « Nous avons été touchés », a indiqué une porte-parole du groupe à l’Agence France-Presse, en précisant que le constructeur était en train d’analyser la situation. « Une action est en place depuis hier soir. On fait le nécessaire pour contrer cette attaque », a-t-elle précisé. Il s’agit de la première institution française à reconnaître avoir été touchée par ces attaques.

Des sites de production de Renault ont été mis à l’arrêt samedi en France. L’arrêt de la production « fait partie des mesures de protection qui ont été prises pour éviter la propagation du virus », a déclaré un porte-parole de la marque au Losange, sans préciser le nom des sites concernés. « On est en train de faire le tour des usines », a-t-il précisé. Selon une source syndicale, l’usine de Sandouville (Seine-Maritime), qui emploie 3 400 salariés, est notamment concernée. « Nous sommes impactés par cette cyberattaque, la production de nuit a été touchée, mais heureusement ce week-end il n’y avait pas de production complète prévue, seulement une production marginale dans l’emboutissage », a confirmé le responsable communication de l’usine. « Toutes les équipes techniques sont sur place pour faire un diagnostic, procéder à une analyse technologique et engager une action pour reprendre la production au plus vite », a ajouté ce responsable, évoquant une reprise de la production « dès lundi matin ».

Le service public de santé britannique touché

Aux États-Unis, le géant de livraison de colis FedEx a reconnu avoir lui aussi été infecté. Le ministère russe de l’Intérieur a également annoncé avoir été touché par un virus informatique vendredi, même s’il n’a pas été précisé s’il s’agit bien de la même attaque. Ces attaques informatiques ont notamment touché le service public de santé britannique (NHS), bloquant les ordinateurs de nombreux hôpitaux du pays. « À ce stade, nous n’avons pas d’élément permettant de penser qu’il y a eu accès à des données de patients », a voulu rassurer la direction du service public de santé britannique. L’attaque a toutefois sérieusement désorganisé des dizaines d’hôpitaux, contraints d’annuler certains actes médicaux et de renvoyer des ambulances vers d’autres établissements.

Des images ont été partagées sur les réseaux sociaux avec des écrans d’ordinateur du NHS demandant le paiement de 300 dollars en bitcoins avec la mention : « Oups, vos dossiers ont été cryptés. » Le paiement doit intervenir dans les trois jours, ou le prix double, et si l’argent n’est pas versé dans les sept jours les fichiers piratés seront effacés, précise le message. Microsoft a publié un patch de sécurité il y a quelques mois pour réparer cette faille, mais de nombreux systèmes n’ont pas encore été mis à jour. Selon la société Kaspersky, le logiciel malveillant a été publié en avril par le groupe de pirates « Shadow Brokers », qui affirme avoir découvert la faille informatique par la NSA. « Ce logiciel de rançon peut se répandre sans que qui que ce soit ouvre un e-mail ou clique sur un lien. Contrairement à des virus normaux, ce virus se répand directement d’ordinateur à ordinateur sur des serveurs locaux, plutôt que par e-mail », a précisé Lance Cottrell, directeur scientifique du groupe technologique américain Ntrepid.

Des banques et des ministères russes ciblés

Le système bancaire russe a aussi été ciblé. Le centre de surveillance informatique de la banque centrale russe « a détecté une attaque en provenance d’un grand nombre d’ordinateurs infectés par un programme malveillant », précise dans un communiqué la banque. L’attaque « n’a pas été identifiée par les systèmes de détection de piratage » des systèmes bancaires, ajoute-t-elle. Vendredi soir, plusieurs agences gouvernementales russes, dont le ministère de l’Intérieur, avaient rapporté des attaques informatiques. Environ mille ordinateurs du ministère ont été touchés. Le ministère russe de la Santé a indiqué avoir pu « faire échec rapidement à un début d’attaques ».

La deuxième plus grande banque russe, Sberbank, a déclaré dans un communiqué que ses systèmes avaient « détecté à temps des tentatives de pénétration des infrastructures de l’établissement ». « Le système de défense du réseau informatique (de Sberbank) a bloqué l’attaque avant qu’elle ne pirate le système », a-t-elle ajouté. Le ministère russe de la sécurité civile et des situations d’urgences a, selon des médias, réussi à « bloquer toutes les tentatives d’attaques virales sur ses ordinateurs ». La société nationale russe du transport ferroviaire a dit avoir « localisé » une attaque, mais n’a pas donné de précisions sur l’étendue des dommages. « Le réseau passagers et ferroviaire fonctionnent comme d’habitude », a-t-elle assuré.

La cybersécurité au menu du G7

Un chercheur en cybersécurité a indiqué à l’Agence France-Presse avoir trouvé une parade pour ralentir la propagation du virus. Tweetant à partir de @Malwaretechblog, il a expliqué que « généralement un logiciel malveillant est relié à un nom de domaine qui n’est pas enregistré. En, simplement, enregistrant ce nom de domaine, on arrive à stopper sa propagation », a-t-il expliqué. Le chercheur a néanmoins insisté sur l’importance d’une mise à jour immédiate des systèmes informatiques, car, selon lui, « la crise n’est pas terminée, ils peuvent encore changer de code et essayer à nouveau », a-t-il prévenu. « Si la NSA avait discuté en privé de cette faille utilisée pour attaquer des hôpitaux quand ils l’ont découverte, plutôt que quand elle leur a été volée, ça aurait pu être évité », a regretté sur Twitter Edward Snowden, l’ancien consultant de l’agence de sécurité américaine qui avait dévoilé l’ampleur de la surveillance de la NSA en 2013.

Les ministres des Finances du G7 ont concentré leur attention sur la cybersécurité ce samedi à Bari (sud-est), un sujet déjà à l’agenda de la réunion. « Nous avons un accord sur de nombreux sujets (…), dont la lutte contre les crimes cybernétiques qui sont malheureusement d’actualité », a commenté le ministre italien des Finances Pier Carlo Padoan. Les grands argentiers du G7 vont annoncer une coopération renforcée pour lutter contre le piratage informatique, les États-Unis et le Royaume-Uni étant chargés de mener une cellule de réflexion pour mettre au point une stratégie internationale de prévention. Les ministres du G7 Finance qui ont aussi discuté pendant deux jours de la nécessité de promouvoir une croissance plus inclusive et de lutter contre l’évasion fiscale notamment, devaient conclure leurs travaux à la mi-journée.

Sources