Une vague de cyberattaques « sans « précédent », selon Europol, frappait samedi une centaine de pays, affectant le fonctionnement de nombreuses entreprises et organisations, dont les hôpitaux britanniques et le constructeur français Renault.
De la Russie à l’Espagne et du Mexique à l’Australie, des dizaines de milliers d’ordinateurs ont été infectés vendredi par un logiciel de rançon exploitant une faille dans les systèmes Windows, divulguée dans des documents piratés de l’agence de sécurité américaine NSA.
Le service public de santé britannique (NHS), cinquième employeur du monde avec 1,7 millions de salariés, semble avoir été la principale victime — et potentiellement la plus inquiétante en mettant en danger des patients — de ces attaques.
Mais il est loin d’être le seul. Le constructeur automobile français Renault a indiqué samedi à l’AFP avoir été affecté et des sites de production étaient à l’arrêt en France mais aussi en Slovénie, dans la filiale de Renault, Revoz.
La Banque centrale russe a annoncé samedi que le système bancaire du pays avait été visé par la cyberattaque, ainsi que plusieurs ministères, et que les pirates avaient tenté de forcer les installations informatiques du réseau ferroviaire.
Le géant géant américain de livraison de colis FedEx ou encore la compagnie de télécoms espagnole Telefonica ont également été affectés.
La compagnie ferroviaire publique allemande est également concernée. Alors que des panneaux d’affichages en gare ont été hackés, la Deutsche Bahn a toutefois certifié que l’attaque n’avait aucun impact sur le trafic.
Selon la société de sécurité informatique Kaspersky, la Russie est le pays qui a été le plus touché par ces attaques.
L’attaque est « d’un niveau sans précédent » et « exigera une investigation internationale complexe pour identifier les coupables », a indiqué samedi l’Office européen des polices Europol dans un communiqué.
Cyber-apocalypse
L’expert en cybersécurité Varun Badwhar a lui aussi évoqué une attaque d’une « ampleur inédite », ajoutant, au micro de la chaîne britannique SkyNews, qu’elle donnait un aperçu de ce que pouvait donner une « cyber-apocalypse ».
L’ancien hacker espagnol Chema Alonso, devenu responsable de la cybersécurité de Telefonica, a cependant conclu samedi sur son blog que malgré « le bruit médiatique qu’il a produit, ce +ransomware+ n’a pas eu beaucoup d’impact réel » car « on peut voir sur le portefeuille BitCoin utilisé, que le nombre de transactions » est faible.
Selon le dernier décompte, assure-t-il, seulement « 6.000 dollars ont été payés » aux rançonneurs dans le monde.
Le logiciel malveillant verrouille les fichiers des utilisateurs et les force à payer une somme d’argent sous forme de monnaie virtuelle bitcoin pour en recouvrer l’usage: on l’appelle le « rançongiciel ».
Les captures d’écran d’ordinateurs infectés du NHS britanniques montrent ainsi que les pirates demandent un paiement de 300 dollars en bitcoins. Le paiement doit intervenir dans les trois jours, ou le prix double, et si l’argent n’est pas versé dans les sept jours les fichiers piratés seront effacés.
L’entreprise de sécurité informatique, Forcepoint Security Labs, a évoqué « une campagne majeure de diffusion d’emails infectés », avec quelque 5 millions d’emails envoyés chaque heure répandant le logiciel malveillant appelé WCry, WannaCry, WanaCrypt0r, WannaCrypt ou Wana Decrypt0r.
Les autorités américaines et britanniques ont conseillé aux particuliers, entreprises et organisations touchés de ne pas payer les pirates informatiques.
Les ministres des Finances du G7, réunis samedi à Bari (sud-est de l’Italie), devaient annoncer une coopération renforcée pour lutter contre le piratage informatique, les Etats-Unis et le Royaume-Uni étant chargés de mener une cellule de réflexion pour mettre au point une stratégie internationale de prévention.
-‘Pas terminé’-
Le NHS britannique tentait samedi de rassurer ses patients, mais beaucoup craignaient un risque de pagaille, notamment aux urgences, alors que le système de santé public, soumis à une cure d’austérité, est déjà au bord de la rupture.
« Environ 45 établissements » du service de santé public ont été touchés, a indiqué samedi la ministre britannique de l’Intérieur Amber Rudd sur la BBC. Plusieurs d’entre eux ont été obligés d’annuler ou de reporter des interventions médicales.
Mme Rudd a ajouté que les autorités continuaient à tenter d’identifier les auteurs de l’attaque.
Selon la société Kaspersky, le logiciel malveillant a été publié en avril par le groupe de pirates « Shadow Brokers », qui affirme avoir découvert la faille informatique par la NSA.
« Ce logiciel de rançon peut se répandre sans que qui que ce soit ouvre un email ou clique sur un lien », a précisé Lance Cottrell, directeur scientifique du groupe technologique américain Ntrepid.
Un chercheur en cybersécurité a indiqué à l’AFP avoir trouvé une parade pour ralentir la propagation du virus. Tweetant à partir de @Malwaretechblog, il a expliqué que « généralement un logiciel malveillant est relié à un nom de domaine qui n’est pas enregistré. En simplement enregistrant ce nom de domaine, on arrive à stopper sa propagation », a-t-il expliqué.
Le chercheur a néanmoins insisté sur l’importance d’une mise à jour immédiate des systèmes informatiques car selon lui « la crise n’est pas terminée, ils peuvent encore changer de code et essayer à nouveau », a-t-il prévenu.
« Si la NSA avait discuté en privé de cette faille utilisée pour attaquer des hôpitaux quand ils l’ont +découverte+, plutôt que quand elle leur a été volée, ça aurait pu être évité », a regretté sur Twitter Edward Snowden, l’ancien consultant de l’agence de sécurité américaine qui avait dévoilé l’ampleur de la surveillance de la NSA en 2013.