Une vague de cyberattaques "sans "précédent" frappait samedi une centaine de pays, affectant le fonctionnement de nombreuses entreprises et organisations, dont les hôpitaux britanniques, le constructeur français Renault et le système bancaire russe. Des dizaines de milliers d'ordinateurs, surtout en Europe, ont été infectés vendredi par un logiciel de rançon, appelé "Wannacry", exigeant un paiement pour récupérer les données. A ce stade, il est impossible de savoir qui se cache derrière cette attaque sans précédent.
Les trois infos à retenir
- Des dizaines de milliers d'ordinateurs ont été infectés par un logiciel de rançon, appelé "Wannacry"
- Chez Renault, des sites de production à l'arrêt en France
- Les particuliers et les organisations sont encouragés à ne pas payer la rançon
• Que s'est-il passé ?
Des entreprises espagnoles ont rapporté vendredi après-midi avoir été victimes d'une cyberattaque, avant que des dizaines d'autres dans le monde entier ne soient à leur tour victimes d'une mésaventure similaire. Le système public de santé britannique, le géant de livraison de colis américain FedEx, des ministères russes, ou encore la compagnie Renault ont par exemple été touchés. Au total, ce sont des dizaines de milliers d'ordinateurs qui ont été infectés par le logiciel de rançon dans une centaine de pays. Selon la police nationale, cette vague de cyberattaques a touché plus de 75.000 ordinateurs dans le monde, selon un bilan provisoire.
Forcepoint Security Labs, une entreprise de sécurité informatique, évoque "une campagne majeure de diffusion d'emails infectés", avec quelque 5 millions d'emails envoyés chaque heure répandant le logiciel malveillant appelé WCry, WannaCry, WanaCrypt0r, WannaCrypt ou Wana Decrypt0r. Ce logiciel crypte les données contenues dans les ordinateurs infectés et exige le paiement d'une rançon pour pouvoir les récupérer. L'attaque est tellement vaste qu'elle a été qualifiée d'un "niveau sans précédent" par Europol, dont le Centre européen de cybercriminalité (EC3) "collabore avec les unités de cybercriminalité des pays affectés et les partenaires industriels majeurs pour atténuer la menace et assister les victimes".
• Renault, seule victime française répertoriée
Renault a reconnu samedi avoir été touchée par la cyberattaque. Des sites de production du constructeur français ont ainsi été mis à l'arrêt samedi, notamment dans l'usine de Sandouville, en Seine-Maritime. Outre les sites en France, une usine d'une filiale de Renault en Slovénie, Revoz, a été touchée. Le constructeur est pour l'instant la seule victime répertoriée en France, selon l'Agence nationale de la sécurité des systèmes d'informations (Anssi). Le parquet de Paris a ouvert une enquête dès vendredi soir après cette attaque.
• Une attaque "d'un niveau sans précédent"
L'attaque est "d'un niveau sans précédent" et "exigera une investigation internationale complexe pour identifier les coupables", a indiqué l'Office européen des polices Europol dans un communiqué. "C'est la plus importante attaque de ce type de l'histoire", a déclaré Mikko Hypponen, responsable de la société de sécurité informatique F-Secure, basée en Finlande, en évoquant "130.000 systèmes touchés dans plus de 100 pays". Selon la société de sécurité informatique Kaspersky, la Russie est le pays qui a été le plus touché par ces attaques.
Les autorités et les entreprises, jusqu'ici, se sont cependant voulues rassurantes. L'attaque "ne compromet pas la sécurité des données et il ne s'agit pas d'une fuite de données", a ainsi assuré le ministère de l'Energie espagnol, également chargé du numérique, après l'annonce de l'attaque dont a été victime le géant des télécoms Telefonica.
• Comment les pirates ont-ils mis au point ce "ransomware" ?
Pour élaborer ce logiciel de rançon, les pirates ont apparemment exploité une faille dans les systèmes Windows, divulguée dans des documents piratés de l'agence de sécurité américaine NSA. Selon la société Kaspersky, le logiciel malveillant avait été publié en avril par le groupe de pirates "Shadow Brokers", qui affirment avoir découvert la faille informatique par la NSA.
"Contrairement à des virus normaux, ce virus se répand directement d'ordinateur à ordinateur sur des serveurs locaux, plutôt que par email", a précisé Lance Cottrell, directeur scientifique du groupe technologique américain Ntrepid. "Ce logiciel de rançon peut se répandre sans que qui que ce soit ouvre un email ou clique sur un lien".
Microsoft a de son côté réactivé une mise à jour pour aider les utilisateurs de certaines versions de son système d'exploitation à faire face à l'attaque. Le virus s'attaque notamment à la version Windows XP, qui n'est en principe plus supportée techniquement par Microsoft. Le nouveau logiciel d'exploitation (OS) Windows 10 n'est pas visé par l'attaque, souligne Microsoft.
• Les autorités conseillent de ne pas payer
Une fois qu'il a infecté un ordinateur, le logiciel de rançon affiche un message disant que le paiement doit intervenir dans les trois jours, faute de quoi le prix doublera, et que si l'argent n'est pas versé dans les sept jours les fichiers piratés seront effacés. Les autorités américaines, britanniques et françaises ont conseillé aux particuliers, entreprises et organisations touchés de ne pas payer les pirates informatiques.
L'ancien hacker espagnol Chema Alonso, devenu responsable de la cybersécurité de Telefonica, a conclu samedi sur son blog que malgré "le bruit médiatique qu'il a produit, ce 'ransomware' n'a pas eu beaucoup d'impact réel" car "on peut voir sur le portefeuille BitCoin utilisé, que le nombre de transactions" est faible. Selon le dernier décompte, assure-t-il, seulement "6.000 dollars ont été payés" aux rançonneurs dans le monde.