BFMTV
International

Cyberattaque: un logiciel de rançon frappe des dizaines de pays

Photo d'illustration

Photo d'illustration - MENAHEM KAHANA / AFP

Le virus, qui exploite une faille du système d'exploitation Windows, crypte les données et exige une rançon contre la clef de décodage.

Une vague de cyberattaques "sans "précédent" frappait samedi une centaine de pays. De nombreuses entreprises et organisations, dont les hôpitaux britanniques, Renault ou encore le système bancaire russe ont été affectés.

Un logiciel de rançon a exploité une faille dans les systèmes Windows, divulguée dans des documents piratés de l'agence de sécurité américaine NSA.

"L'attaque récente est d'un niveau sans précédent et exigera une investigation internationale complexe pour identifier les coupables", a indiqué dans un communiqué Europol, dont le Centre européen de cybercriminalité (EC3) "collabore avec les unités de cybercriminalité des pays affectés et les partenaires industriels majeurs (...)".

Faille de Windows découverte par la NSA

Ceux-ci ont apparemment exploité une faille dans les systèmes Windows, divulguée dans des documents piratés de l'agence de sécurité américaine NSA. "Aujourd'hui nous avons assisté à une série de cyberattaques contre des milliers d'organisations et d'individus dans des dizaines de pays", a indiqué dans un communiqué l'agence britannique de cybersécurité (NCSC) qui recommande de mettre à jour ses logiciels de sécurité et ses anti-virus.

"Nous avons reçu de multiples rapports d'infection par un logiciel de rançon", a écrit le ministère américain de la Sécurité intérieure dans un communiqué. "Particuliers et organisations sont encouragés à ne pas payer la rançon car cela ne garantit pas que l'accès aux données sera restauré".

"Si la NSA avait discuté en privé de cette faille utilisée pour attaquer des hôpitaux quand ils l’ont 'découverte', plutôt que quand elle leur a été volée, ça aurait pu être évité", a regretté sur Twitter Edward Snowden, l’ancien consultant de l’agence de sécurité américaine qui avait dévoilé l’ampleur de la surveillance de la NSA en 2013.

75.000 attaques

Cette vague d'attaques informatiques de "portée mondiale" suscite l'inquiétude des experts en sécurité. Le logiciel verrouille les fichiers des utilisateurs et les force à payer une somme d'argent sous forme de bitcoins pour en recouvrer l'usage: on l'appelle le "rançongiciel". 

"Nous avons relevé plus de 75.000 attaques dans 99 pays", a noté vers 20 heures GMT Jakub Kroustek, de la firme de sécurité informatique Avast, sur un blog.

Le constructeur automobile français Renault a indiqué samedi avoir été affecté et des sites de production étaient à l'arrêt en France mais aussi en Slovénie, dans la filiale de Renault, Revoz. L'usine britannique de Sunderland du constructeur japonais Nissan, partenaire de Renault, a aussi été touchée, a confirmé une porte-parole de Nissan

Hôpitaux britanniques désorganisés

Des organisations en Espagne, en Australie, en Belgique, en France, en Allemagne, en Italie et au Mexique ont également été touchées selon des analystes. Aux Etats-Unis, le géant de livraison de colis FedEx a reconnu avoir lui aussi été infecté. Le ministère russe de l'Intérieur a également annoncé avoir été touché par un virus informatique vendredi, même s'il n'a pas été précisé s'il s'agit bien de la même attaque.

Ces attaques informatiques ont notamment touché le service public de santé britannique (NHS), bloquant les ordinateurs de nombreux hôpitaux du pays. "A ce stade, nous n'avons pas d'élément permettant de penser qu'il y a eu accès à des données de patients", a voulu rassurer la direction du service public de santé britannique. L'attaque a toutefois sérieusement désorganisé des dizaines d'hôpitaux, contraints d'annuler certains actes médicaux et de renvoyer des ambulances vers d'autres établissements.

Des images ont été partagées sur les réseaux sociaux avec des écrans d'ordinateurs du NHS demandant le paiement de 300 dollars en bitcoins avec la mention: "Oups, vos dossiers ont été cryptés". Le paiement doit intervenir dans les trois jours, ou le prix double, et si l'argent n'est pas versé dans les sept jours les fichiers piratés seront effacés, précise le message.

Pas besoin d'email

Microsoft a publié un patch de sécurité il y a quelques mois pour réparer cette faille, mais de nombreux systèmes n'ont pas encore été mis à jour. Selon la société Kaspersky, le logiciel malveillant a été publié en avril par le groupe de pirates "Shadow Brokers", qui affirme avoir découvert la faille informatique par la NSA.

"Ce logiciel de rançon peut se répandre sans que qui que ce soit ouvre un email ou clique sur un lien. Contrairement à des virus normaux, ce virus se répand directement d'ordinateur à ordinateur sur des serveurs locaux, plutôt que par email", a précisé Lance Cottrell, directeur scientifique du groupe technologique américain Ntrepid. 

Un chercheur en cybersécurité a indiqué à l'AFP avoir trouvé une parade pour ralentir la propagation du virus. Tweetant à partir de @Malwaretechblog, il a expliqué que "généralement un logiciel malveillant est relié à un nom de domaine qui n'est pas enregistré. En enregistrant ce nom de domaine, on arrive à stopper sa propagation", a-t-il expliqué.

L.N. avec AFP