La-Femme (Cyberattaque) – une attaque informatique de grande ampleur a affecté les activités de grandes entreprises, en Ukraine, puis en Inde et en France.
Les pirates ont exploité des failles découvertes dans des documents volés à la NSA, l’agence américaine de renseignement.
À Kiev, les passagers du métro ne pouvaient plus payer par carte bancaire, les tableaux d’affichage des départs d’avion, à l’aéroport, ont cessé de fonctionner, et les mesures automatiques de radioactivité à Tchernobyl se sont bloquées. À Bombay, les conteneurs sur le port ne pouvaient plus être déplacés, tandis qu’en Russie, la société pétrolière Rosneft a dû mobiliser un serveur de secours pour pouvoir continuer à produire… Telles sont quelques-unes des conséquences de la nouvelle attaque informatique qui a touché les ordinateurs du monde entier, le 27 juin.
Comment se manifeste cette nouvelle attaque ?
Le virus « Petya », responsable de l’attaque, est un « rançongiciel ». Les ordinateurs attaqués ne démarrent pas. Ils affichent simplement un message qui indique que les données contenues dans le disque dur ont été cryptées et qu’il faut verser l’équivalent de 280 € par mail, à une adresse anonyme, pour pouvoir les récupérer.
Exactement comme le virus « WannaCry », responsable d’une autre attaque en mai, Petya utilise une faille du système d’exploitation Windows. Cette faille était connue de la NSA, l’agence de renseignement américaine. Des pirates ont volé cette information dans les serveurs de la NSA, puis l’ont publiée sur Internet en début d’année.
Depuis, elle a donc été utilisée par les créateurs de WannaCry en mai, puis par ceux de Petya. Le virus infecte un ordinateur lorsque l’utilisateur ouvre une banale pièce jointe. Mais ensuite, il peut se propager dans l’ensemble des ordinateurs en réseau, sans intervention humaine.
« Nous avons détecté ces attaques en Australie, États-Unis, Pologne, Pays-Bas, Norvège, Russie, Ukraine, Inde, Danemark et Espagne », signale la firme de sécurité informatique FireEye.
Pourquoi de grandes entreprises sont-elles touchées ?
Maersk, Auchan, BNP Paribas, Saint-Gobain, Rosneft ont admis avoir été atteints, soit de très grosses sociétés. En principe, elles disposent des moyens de se protéger. Mais dans la réalité, elles restent fragiles, car toutes les règles de sécurité ne sont pas forcément appliquées. La première chose à faire, pour se protéger, est en effet de mettre à jour régulièrement les ordinateurs.
« Mais dans beaucoup de grandes entreprises, entre le moment où l’on a connaissance d’une faille et celui où l’on fait la mise à jour, il se passe de trois à six mois, car il existe une inertie. Or la vitesse à laquelle agissent les pirates informatiques est beaucoup plus rapide », observe Laurent Hausermann, cofondateur de Sentryo, entreprise de Lyon spécialisée dans la sécurité des systèmes industriels.
Dès que les pirates ont publié les informations volées à la NSA, Microsoft a mis à disposition un correctif pour colmater la brèche. Il est disponible depuis le 10 mars. Les ordinateurs infectés sont ceux qui n’ont pas effectué cette mise à jour.
Qui sont les assaillants ?
Les cybercriminels sont des individus ou de petites entreprises qui agissent seuls ou avec le consentement des États dans lesquels ils sont installés.
Selon toutes les apparences, ce virus Petya est destiné à extorquer de l’argent aux personnes touchées. Il semble donc être l’œuvre de pirates aux motivations purement crapuleuses. Mais une attaque peut servir à en dissimuler une autre, avec d’autres objectifs. Dans le cas du virus WannaCry, l’enquête avait ainsi permis de remonter jusqu’à un groupe, nommé « Lazarus », et réputé lié à la Corée du Nord.
Dans le cas présent, il est encore trop tôt pour le dire. Mais le fait que l’attaque ait démarré en Ukraine éveille des soupçons. Le président du conseil de sécurité ukrainien, Oleksandr Tourtchinov, a tout de suite accusé la Russie, sans apporter de preuve.
L’hypothèse d’une action étatique est en tout cas prise au sérieux par le secrétaire général de l’Otan, Jens Stoltenberg. Interrogé sur le sujet, il a souligné le 28 juin « l’importance d’un renforcement de notre cyberdéfense ».
Et il a rappelé qu’une cyberattaque d’envergure pourrait entraîner le déclenchement de l’article 5, en vertu duquel une attaque contre un des pays de l’Otan est considérée comme une attaque contre tous. L’Otan dispose déjà d’une capacité de cyberdéfense, avec un centre spécialisé dont le siège est à Tallinn, en Estonie.
Que faire en cas d’attaque ?
Au cas où votre ordinateur affiche un message inhabituel, la meilleure chose à faire est de le débrancher immédiatement. Si le cryptage des données n’a pas commencé, il est encore possible de les récupérer. Mais il vaut mieux faire appel à un spécialiste. Toutefois, le plus probable est qu’il est déjà trop tard lorsque le message apparaît.
Pour se protéger, la meilleure solution reste de faire régulièrement des mises à jour, de disposer d’un antivirus, et de disposer d’une sauvegarde de ses données. Ainsi, en cas de perte, il est possible de restaurer le contenu de l’ordinateur. Dans tous les cas, les sociétés de sécurité recommandent de ne pas payer, pour ne pas alimenter la cybercriminalité.