INFOTHEMA

Auteur Sujet: Une vague internationale de cyberattaques foudroie les systèmes Windows !  (Lu 3233 fois)

Animateur

  • Administrator
  • Hero Member
  • *****
  • Messages: 5880
    • Voir le profil


Une vague de cyberattaques a frappé depuis vendredi une centaine de pays, affectant le fonctionnement de nombreuses entreprises et organisations, dont les hôpitaux britanniques, le constructeur français Renault et le système bancaire russe.

Plusieurs dizaines de pays touchés, des entreprises et des institutions publiques perturbées, dont des hôpitaux au Royaume-Uni, l’opérateur télécoms Telefonica en Espagne, Renault en France… La vague de cyberattaques par «rançongiciel» qui a, depuis vendredi, visé des dizaines de milliers d’ordinateurs dans le monde entier frappe d’abord par son ampleur. «Elle est particulièrement virulente», souligne Guillaume Poupard, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi).

Selon les analyses des experts en cybersécurité, les attaquants ont tiré profit d’une faille dans Windows, le système d’exploitation de Microsoft, qui faisait partie de l'arsenal d'espionnage de la NSA, et qui a été révélée le mois dernier par un mystérieux groupe de pirates informatiques, les «Shadow Brokers».

Que s’est-il passé ?

La vague de cyberattaques a apparemment démarré dans la nuit de jeudi à vendredi : dès vendredi matin, les employés de l’opérateur télécom espagnol Telefonica étaient avertis d’un incident de cybersécurité, et enjoints à éteindre leurs ordinateurs. En cause, la propagation d’un ransomware, ou «rançongiciel». Soit un programme malveillant qui, une fois activé, chiffre les données, les rendant inaccessibles à l’utilisateur tant que ce dernier n’a pas payé une rançon. Le principal vecteur de diffusion semble jusqu’ici avoir été une campagne massive de mails. Les attaquants exigent, pour «libérer» les données ainsi séquestrées, l’équivalent de 300 dollars (environ 274 euros) en bitcoins. L’éditeur russe de solutions de cybersécurité Kaspersky a également repéré des demandes de rançon à 600 dollars.

Comme le signale le bulletin d’alerte émis en France par l’Anssi, à l'exception de Windows 10, «tous les systèmes d’exploitation Windows peuvent être victimes de ce logiciel malveillant», baptisé «WannaCry» ou «WannaCrypt». L’attaque «utilise une vulnérabilité particulièrement grave, qui permet une diffusion au sein des réseaux avec une grande efficacité», précise Guillaume Poupard. Selon le Centre cryptologique national (CCN) espagnol, le ransomware ne chiffre pas seulement les données sur la machine infectée, mais aussi les «fichiers […] des réseaux en partage».   

La faille en question était gardée secrète, pour être utilisée à son propre profit, par la NSA  8). Elle avait été divulguée publiquement à la mi-avril par le mystérieux groupe de pirates «Shadow Brokers». Suspecté par plusieurs experts d’être lié à la Russie, ce collectif diffuse depuis plusieurs mois des armes informatiques provenant de l’agence américaine. «C’est la concrétisation de ce que l’on craignait, souligne le patron de l’Anssi. Ce genre de dissémination pose la question de la responsabilité des acteurs publics et privés dans l’utilisation de ces failles.» Courant mars, Microsoft avait publié des correctifs de sécurité, mais ils n’ont pas forcément été appliqués par tous les utilisateurs. Vendredi, l’éditeur de logiciels a par ailleurs émis de nouveaux correctifs, cette fois pour des versions obsolètes de son système d’exploitation, comme Windows XP, toujours utilisé dans la majorité des hôpitaux britanniques.

Qui a été touché ?

La propagation a été aussi massive que rapide. Kaspersky dénombrait déjà, vendredi soir, quelque 45 000 attaques dans 74 pays. Le tchèque Avast en a pour sa part repéré 75 000, dans 99 pays. Un responsable de la société finlandaise F-Secure, enfin, a évoqué «130 000 systèmes touchés dans plus de 100 pays».

Le New York Times a mis en ligne une cartographie partielle de la vague de cyberattaques, basée sur les données recueillies par «MalwareTech», un chercheur en cybersécurité anonyme qui en a, selon les constatations de l’entreprise américaine Symantec, très sensiblement freiné la diffusion en activant, un peu par hasard, un système de «coupe-circuit» présent dans le code du logiciel malveillant. Samedi en début d'après-midi, la vague semblait quasi stoppée.

En Europe, le ministère espagnol de l’Energie a fait état, vendredi soir par communiqué, d’une «attaque ayant touché ponctuellement des équipements de travailleurs de différentes entreprises», mais s’est voulu rassurant, précisant qu’elle «n’affecte […]  pas la prestation de services» et qu’«il ne s’agit pas d’une fuite de données». Selon une source au sein de Telefonica citée par l’AFP, «des centaines d’ordinateurs» ont été infectés au siège de l’opérateur.

Quid de la France ?

Ce samedi, Renault a indiqué avoir été touché par le ransomware. «Une action est en place depuis [vendredi] soir, a indiqué une porte-parole du groupe à l’AFP. On fait le nécessaire pour contrer cette attaque.» Des sites de production ont été mis à l’arrêt pour «éviter la propagation du virus». L’usine de Sandouville (Seine-Maritime) serait concernée. Une porte-parole de Revoz, la filiale du constructeur automobile en Slovénie, a par ailleurs déclaré que les ordinateurs de l’usine de Novo Mesto avaient été infectés, entraînant un arrêt de la production.

Qui peut être derrière ces cyberattaques ?

À ce stade, mystère, mais on peut a minima s’interroger sur le profil des attaquants. Le plus souvent, les ransomwares ont un objectif purement lucratif. Mais Nicolas Arpagian, directeur scientifique à l’Institut des hautes études de la sécurité et de la justice (Inhesj) et auteur de la Cybersécurité («Que sais-je», PUF), a «du mal à n’y voir qu’une stricte dimension crapuleuse, au vu de l’ampleur et des cibles. On ne peut pas exclure l’idée d’un "test"». Pour lui, en tout état de cause, cette vague d’attaques pose «la vraie question de la paralysie, à l’échelle nationale, de services sensibles».

«Avec toute la prudence qui s’impose» à ce stade, le patron de l’Anssi, lui, y voit plutôt «de la cybercriminalité classique extrêmement lucrative. Quand on voit les montants que cela peut rapporter, on est dans un cercle vicieux…» D’autres hypothèses, quant à l’intervention d’acteurs étatiques notamment, sont, juge-t-il, «très peu probables».

Les attaques au «rançongiciel» étaient déjà une préoccupation majeure des autorités – Europol, notamment, a mis en place un portail dédié, Nomoreransom.org. En France, le parquet de Paris a ouvert vendredi soir une enquête pour «accès et maintien frauduleux dans des systèmes de traitement automatisé de données», «entraves au fonctionnement» desdits systèmes, et «extorsions et tentatives d’extorsions».

Source : http://www.liberation.fr/futurs/2017/05/13/ce-que-l-on-sait-des-cyberattaques-visant-plusieurs-dizaines-de-pays_1569335
Membre de l'APRIL (www.april.org) / Membre du bureau Association "Debian Facile"  (https://debian-facile.org)