Une attaque mondiale par ransomware infecte des grandes entreprises et administrations

May 15, 2017
Vote on Hacker News

Ce vendredi 12 mai a eu lieu une des plus importantes attaque mondiale par ransomware : près d’une centaine de pays touchés, des organismes et sociétés clés visés, les pirates ont fait les choses en grand. Impossible de savoir si le butin a été conséquent puisque personne n’a communiqué sur des éventuels paiements de rançon.

L’ordinateur affiche un écran fixe, que l’on ne peut modifier, même après un redémarrage : un écran qui indique que les fichiers ont été codés et qui exige le paiement de 300 dollars (275 euros) via BitCoin, la monnaie anonyme du Net. Ce vendredi 12 mai, des dizaines de milliers d’ordinateurs ont été infectés par le même type de virus : l’attaque est mondiale, touchant 99 pays, dont le Royaume Uni, l’Allemagne, l’Italie, la France, le Mexique, l’Espagne, l’Australie…

D’après les analyses de Forcepoint Security Labs, il s’agirait « d’une campagne majeure d’emails malveillants », composée de 5 millions d’emails envoyés par heures, infectés par un ransomware (« rançongiciel ») de type WannaCry ; cela étant, si les ordinateurs ont bien été bloqués, un logiciel de ce type ne peut récupérer et copier aucune donnée personnelle, il se « contente » de les rendre inaccessibles.

Un ranconware de typer WannaCry, qui ne collecte aucune donnée

L’attaque a été rendue plus efficace par l’utilisation d’Eternal Blue, un outil de piratage créé par les services secrets américains et qui aurait été dérobé à l’Agence nationale de sécurité américaine (NSA) : Eternal Blue facilite la dissémination des virus par les systèmes de partage de fichiers pour multiplier les ordinateurs infectés. Cet outil tire parti d’une faille de sécurité découverte par la NSA et dont l’existence a été révélée en avril par un mystérieux groupe nommé The Shadow Brokers.

Il est manifeste que la NSA voulait conserver pour son propre usage cette faille de sécurité, afin de pouvoir mener des piratages. De nombreux experts en cybersécurité estiment que ces failles qui n’ont pas été rendues publiques devraient être corrigées dès leur découverte ; Edward Snowden est évidemment de cet avis : « S’ils avaient révélé l’existence de cette faille de sécurité lorsqu’ils l’ont découverte, (…) tout cela ne serait pas arrivé », écrit le lanceur d’alerte sur son compte Twitter.

Une faille de sécurité repérée par les services secrets américains

Car si Microsoft a eu le temps de corriger cette faille depuis avril, tous les ordinateurs dont le système n’est pas à jour restaient vulnérables, notamment les nombreux postes tournant encore sous Windows XP. Or de nombreuses administrations utilisent encore ce système d’exploitation, notamment au Royaume-Uni, qui a été le pays le plus durement atteint par cette attaque.

En effet, c’est le système informatique tout entier du service national de la santé (NHS) britannique qui a été infecté, avec des conséquences d’importance pour les usagers : examens médicaux annulés ou perturbés, communications téléphoniques affectées, accès aux données bloqués… De nombreux médecins pointent depuis des mois la vulnérabilité du système informatique de l’institution aux rançongiciel, de nombreux hôpitaux britanniques ayant été victimes d’attaque de ce type – et forcés de payer, vues la gravité des conséquences d’une panne informatique prolongé pour un organisme de santé.

Impact mondial

Parmi les autres victimes notables et connues au niveau mondial, citons Telefonica, le géant des télécoms espagnol, des opérateurs téléphoniques portugais ou FedEx, l’entreprise de livraison américaine. Le ministère de l’Intérieur russe a confirmé ce vendredi avoir été victime d’un virus, mais sans préciser s’il s’agissait de cette même attaque.

En France, Renault est la première entreprise à reconnaître samedi matin avoir été touchée par l’attaque. Une porte parole de Revoz, la filiale de Renault en Slovénie, a ainsi déclaré : «Nous pouvons confirmer que vendredi 12 mai, des problèmes ont affecté une partie du système informatique de Revoz, entraînant un arrêt de production pendant la nuit. Elle reste suspendue samedi. Les problèmes sont principalement liés à la France où certains sites de Renault ont aussi subi des dysfonctionnements».

Des pirates qui risquent de rester anonymes

Mais, comme souvent dans ce genre d’attaque, personne n’a communiqué sur un éventuel versement de rançon ; il est de même probable que d’autres entreprises ou administrations aient été touchées mais aient choisi de payer sans le dire à qui que soit.

Quant à l’origine de l’attaque, elle est pour l’heure totalement inconnue. La piste la plus probable est celle d’un acte criminel classique, ayant l’appât du gain pour motivation. Mais il faudra une longue analyse de l’attaque pour déterminer si elle visait des organismes spécifiques ou s’est contenté d’attaquer toutes les cibles vulnérables. Et encore plus de temps pour espérer identifier les auteurs du piratage.