Une Cyberattaque planétaire est en cours, un ransomware fait de nombreuses victimes, bilan et conseils

Un groupe de pirates est à l’origine d’une attaque informatique d’une ampleur jamais vue jusqu’à présent. Entreprises, administrations et hôpitaux de différents pays sont les victimes d’un ransomware. Un nombre important d’ordinateurs est bloqué exigeant de la part de leur propriétaire de payer une rançon. Le France vient d’ouvrir une enquête.

Ces hackers, pour le moment non identifiés, ont réussi leur opération. A l’aide d’un logiciel malveillant, le groupe de pirate a infecté des milliers d’administrations et entreprises à travers le monde. L’attaque n’a pas visé une contrée en particulier si bien que plus de 100 pays sont touchés. Il est déjà mentionné des pays comme La Russie, les Etats Unis, l’Espagne, l’Australie, le Belgique, l’Allemagne, la France, l’Italie et le Mexique.

Ransomware, un logiciel malveillant bien connu

Sa nature n’est en soi pas très complexe puisqu’elle s’appuie sur un certain type de logiciel malveillant très connu, un ransomware. Nommé rançongiciel en français, son objectif est de prendre en otage les données d’un ordinateur en procédant à un chiffrement.

La victime est sollicitée pour envoyer de l’argent en échange de la clé qui permettra de déchiffrer les données. L’origine du logiciel est multiple mais la NSA est très souvent citée.

Si cette information se vérifie, Apple peut avoir le sourire. La firme s’est par le passé vivement opposée aux demandes des autorités américaines pour la création d’applications capables de prendre le contrôle de ses iPhones. La principale raison était qu’il était impossible de garantir sa maitrise, en clair d’éviter qu’ils tombent entre les mains de personnes malveillantes. A l’époque Tim Cook expliquait

Le monde numérique est très différent du monde physique. Dans le monde physique, vous pouvez détruire quelque chose pour le faire disparaitre. Mais dans le monde numérique, la technique, une fois créé, peut être utilisée encore et encore [..] La seule façon de garantir qu’un tel outil puisse pas tomber entre de mauvaises mains est de ne jamais le créer »

Selon les premières estimations, les dégâts sont importants au point que certains parlent de la plus importante attaque informatique que l’on connaisse à ce jour. La procédure d’infection utilise un canal des plus classiques, le mail.

Entreprises, administrations et hôpitaux sont touchés.

Plusieurs grands groupes font partie des victimes. Les experts évoquent Renault en France, Telefónica en Espagne ou encore FedEx aux Etats-Unis. Plus inquiétant encore, des hôpitaux sont aussi concernés en particulier au Royaume-Uni. La première ministre britannique, Theresa May a officiellement confirmé que le service public de santé britannique est touché. Certaines unités a dû refuser des patients en raison d’ordinateurs défaillants

Selon Avast, plus de 75 000 attaques dans 99 pays ont été enregistrées tandis que Forcepoint Security Labs parle d’un envoi de 5 millions d’emails infectés chaque heure. La méthode permet de répandre rapidement le logiciel malveillant.

De leur côté, les autorités américaines ont tiré la sonnette d’alarme dès hier, vendredi 12 mai 2017. Leur recommandation est de ne surtout pas payer de rançon aux pirates. Il semble que le système d’exploitation Windows soit mis en cause en raison de l’existence d’une faille de sécurité.  Elle a été divulguée dans des documents piratés de la NSA.

A ce sujet, Edward Snowden n’a pas manqué de pointer du doigt les agissements et le comportement de la NSA.

Le Financial Times semble confirmer ces propos. L’attaque aurait été menée avec l’aide d’Eternal Blue, un utilitaire de piratage mis au point par la NSA afin de dissimuler le caractère infectieux et donc d’augmenter la pertinence de l’infection.

Comment se protéger ?

Enfin selon le Centre cryptologique national espagnol (CCN) le virus WannaCry serait l’un des protagonistes de ces infections.

Une multitude de versions de Windows est concernée. Cela va de Windows Vista SP2 à Windows Server 2016 en passant par Windows 10, Windows Server 2012 R2, Windows RT 8.1,  Windows 8.1, Windows 7 ou encore Windows Server 2008 R2 SP1 et SP2.

Il est possible dès à présent de mettre en place des mesures de préventions et d’atténuation. Le NCF-CERT recommande de mettre à jour tous systèmes avec l’installation des dernières versions et patchs disponibles, d’isoler le réseau, d’isoler les ports de communication UDP 137 et 138 et TCP 139 et 445 et d’entreprendre le plus rapidement possible l’isolation de tout ordinateur touché du reste de l’infrastructure informatique.

Le niveau d’alerte est jugé comme très important.