Cyber-attaque mondiale: ce qu’on en sait pour l’instant
Hier, des entreprises dans le monde entier ont été les victimes d’une cyber-attaque, par laquelle des pirates internet exigeaient 300 dollars pour déverrouiller les ordinateurs touchés. Voici les éléments principaux de cette cyber-attaque.
Hier mardi, une nouvelle agression cauchemardesque au rançongiciel (ransomware) s’est propagée au niveau mondial. Son épicentre se trouvait en Ukraine, où l’éditeur de logiciels M.E. Doc, surtout connu au sein des institutions financières, a été le premier à être contaminé. Ensuite, ce sont les réseaux informatiques des autorités ukrainiennes et d’un grand nombre d’entreprises qui furent paralysés. Les systèmes de détection de Tchernobyl ont aussi été touchés, ce qui fait que la radioactivité dut être contrôlée manuellement.
La cyber-épidémie s’est alors propagée très rapidement à des entreprises dans le monde entier. Chez nous, plusieurs filiales de multinationales furent victimes de l’attaque, dont l’entreprise alimentaire Mondelez et le producteur de médicaments MSD. Le service de colis TNT et les terminaux de la firme portuaire APM de Zeebrugge ont aussi été paralysés.
L’attaque exploite la même faille que WannaCry
La cyber-attaque affiche pas mal de similitudes avec celle de WannaCry lancée en mai dernier. Selon diverses entreprises de sécurité, le maliciel (malware) exploite en effet la même faille que celle utilisée par WannaCry: une brèche dans les systèmes Windows désuets et non actualisés d’entreprises. Cette brèche, SMBv1 ‘EternalBlue’, avait été initialement découverte et exploitée par la NSA, puis rendue publique par le collectif de pirates Shadow Brokers.
L’attaque bloque le disque dur
Dans une récente mise à jour, le problème a été résolu, mais les ordinateurs qui n’ont pas encore reçu cette update, demeurent vulnérables. “Contrairement à d’autres types de ransomware, cette attaque ne crypte pas les fichiers un par un, mais elle bloque directement le disque dur. Pour se protéger, les entreprises doivent installer aussitôt les plus récentes mises à jour de sécurité de Microsoft et désactiver le protocole de partage SMBV1”, explique Maya Horowitz de l’entreprise de sécurité Check Point.
Des doutes quant à savoir si ‘NotPetya’ est apparenté à Petya
Le virus preneur d’otages a été rapidement qualifié de ‘Petya’, parce qu’il s’agirait d’une variante du rançongiciel du même nom, qui avait été découvert début 2016. Mais cela a été ensuite mis en doute par Kaspersky Lab, l’une des principales entreprises de cyber-sécurité au monde. A sa demande, un grand nombre de chercheurs appellent à présent cette nouvelle variante ‘NotPetya’.
Quel était le but de l’attaque?
L’attaque n’a pas encore rapporté beaucoup à ses auteurs: cet avant-midi, le compteur en était à moins de dix mille dollars. Il n’est du reste plus sensé de verser la rançon demandée car l’adresse e-mail spécifiée a été entre-temps bloquée. Certains cyber-chercheurs spéculent sur le fait qu’il s’agirait ici d’une attaque de type ransomware ayant comme objectif de causer le plus de dommages possible. La partie ‘paiement’ est en effet mal conçue, et la rançon demandée, 300 euros, est faible. Il pourrait donc être question d’une manoeuvre de diversion ou d’une attaque à caractère politique contre l’Ukraine, le pays le plus sévèrement touché.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici