Cyberattaque mondiale, « sans précédent » selon Europol

13/05/2017 12 min lesechos.fr  cyberattaque sécurité informatique  hackers malware #128738

Les pirates ont utilisé une faille découverte par les services de renseignement américains. Une centaine de pays ont été touché. En France, où Renault a été contraint d'arrêter la production de certains sites, le parquet de Paris a ouvert une enquête.

Au fil de la nuit, la liste des victimes potentielles de la cyberattaque mondiale détectée vendredi par les autorités américaines et britanniques s'est allongée.

Ce samedi matin on évoquait en effet une centaine de pays visés par les pirates informatiques et de nombreuses entreprises ou services publics reconnaissaient avoir été touchés ou avoir fait l'objet d'attaques..

The New York Times 13/05/2017 13:01:14  360  613

Animated map of how tens of thousands of computers were infected with ransomware t.co t.co

http://nyti.ms/2rah9Jc

"L'attaque récente est d'un niveau sans précédent et exigera une investigation internationale complexe pour identifier les coupables", a indiqué l'Office européen des polices Europol.

Europol 13/05/2017 11:38:37  169  275

Europol's @EC3Europol is supporting countries. #WannaCry #Ransomware attack at unprecedented level and requires international investigation.

Une faille de Windows

Les pirates ont apparemment exploité une faille dans les systèmes Windows, divulguée dans des documents piratés de l'agence de sécurité américaine NSA..

« Si la NSA avait discuté en privé de cette faille utilisée pour attaquer des hôpitaux quand ils l'ont 'découverte', plutôt que quand elle leur a été volée, ça aurait pu être évité », a regretté sur Twitter Edward Snowden, l'ancien consultant de l'agence de sécurité américaine qui avait dévoilé l'ampleur de la surveillance de la NSA en 2013.

Edward Snowden 12/05/2017 21:11:39  3589  2981

If @NSAGov had privately disclosed the flaw used to attack hospitals when they *found* it, not when they lost it, t… t.co

En fait, Microsoft avait publié en mars dernier une correction pour cette faille mais nombre de systèmes n'ont visiblement pas été mis à jour par les utilisateurs.

Et le géant informatique américain n'a pas manqué, dès vendredi de publier une longue note destinée à expliquer comment se protéger plus particulièrement des attaques liées à WannaCrypt. Y soulignant notamment la mise à disposition d'une mise à jour de Windows Defender, le système maison de protection contre les logiciels malveillants.

De même, selon Microsoft, les utilisateurs dont les machines tournent sous Windows 10 ne seraient pas l'objet d'attaques.

Plus de 75.000 attaques

Le logiciel utilisé par les pirates verrouille les fichiers des utilisateurs et les force à payer une somme d'argent sous forme de bitcoins pour en recouvrer l'usage. Une pratique, appelée "ransomwares" et qui devient de plus en plus courante.

« Nous avons relevé plus de 75.000 attaques dans 99 pays ", explique Jakub Kroustek, de la société de sécurité informatique Avast, sur son blog.

Jakub Kroustek 12/05/2017 19:13:19  76  188

57,000 detections of #WannaCry (aka #WanaCypt0r aka #WCry) #ransomware by Avast today. More details in blog post: t.co

https://blog.avast.com/ransomware-that-infected-telefonica-and-hns-hospitals-is-spreading-aggressively-with-over-50000-attacks-so-far-today

Forcepoint Security Labs, autre entreprise de sécurité informatique, évoque de son côté « une campagne majeure de diffusion d'emails infectés », avec quelque 5 millions d'emails envoyés chaque heure répandant le logiciel malveillant appelé WCry, WannaCry, WanaCrypt0r, WannaCrypt ou Wana Decrypt0r.

La carte des principales attaques détaillées selon le blog MalwareTech - MalwareTech

De nombreux services publics touchés

La liste des pays touchés est particulièrement longue et les spécialistes n'ont guère de doute sur le fait que tous les incidents recensés sont liés.

Des organisations publiques, des entreprises ont ainsi été touchées aux Etats-Unis (où le géant de livraison de colis FedEx a reconnu avoir été infecté) et au Royaume-Uni mais aussi en Espagne, en Australie, en Belgique, en France, en Allemagne, en Italie, au Mexique, en Chine, en Ukraine ou bien encore à Taïwan.

À lire aussi

Le ministère russe de l'Intérieur a également annoncé avoir été touché par un virus informatique vendredi, même s'il n'a pas été précisé s'il s'agit bien de la même attaque. "Environ 1 000 ordinateurs du ministère russe de l'Intérieur ont été affectés par une cyber-attaque massive», a également déclaré dans la soirée du 12 mai un porte-parole du ministère à l'agence de presse Interfax.

Arrêts de production chez Renault

Outre Fedex, plusieurs autres entreprises ont indiqué avoir été touchées ou avoir fait face à des problèmes. Ce samedi le constructeur automobile français Renault a indiqué faire partie des victimes. "Nous avons été touchés", a indiqué une porte-parole du groupe, en précisant que le constructeur était en train d'analyser la situation. "Une action est en place depuis hier (vendredi) soir. On fait le nécessaire pour contrer cette attaque", a-t-il précisé.

Des problèmes ont nécessité la mise à l'arrêt de certains sites de production dont celui de Sandouville en France, mais aussi en Slovénie où la filiale du constructeur, Revoz, a arrêté la production d'une de ses usines

Selon l'Agence nationale de la sécurité des systèmes d'informations (Anssi), Renault serait la seule victime française.

Un peu plus tôt, Telefonica en Espagne mais aussi les chemins de fer allemands, la Deutsche Bahn, ont reconnu avoir été la cible de ses attaques. Si des panneaux d'affichages en gare ont été piratés, la Deutsche Bahn a toutefois certifié que l'attaque n'avait aucun impact sur le trafic.

À lire aussi

A Taiwan, c'est le réseau BBS PTT qui a été le premier à indiquer être attaqué en se fondant sur les alertes de nombreux utilisateurs. Mais le gouvernement de Taiwan a affirmé ce samedi, selon l'agence CNA qu'aucun service public ou hôpital n'avait été infecté.

Des attaques repoussées en Russie

En Russie MegaFon, ou la banque Sberbank avaient indiqué avoir été attaqués. Samedi, la banque centrale russe a annoncé qu'elle avait détecté des attaques informatiques "massives" contre des banques russes qui avaient réussi à les contrecarrer. La presse russe indique par ailleurs que la société des chemins de fer nationaux a été prise pour cible de ces attaques mais qu'elle est également parvenue à les repousser.

RT 12/05/2017 22:00:54 réponse à  RT_com  thread  last  66  178

More: Russian telecom giant #Megafon also affected by #WannaCry; Follow LIVE UPDATES here t.co t.co

http://on.rt.com/8bid

Le système de santé britannique particulièrement visé

Ces attaques informatiques ont notamment touché le service public de santé britannique (NHS), bloquant les ordinateurs d'une quarantaine d'hôpitaux du pays. « A ce stade, nous n'avons pas d'élément permettant de penser qu'il y a eu accès à des données de patients », a voulu rassurer la direction du service public de santé britannique.

L'attaque a toutefois sérieusement désorganisé des dizaines d'hôpitaux, contraints d'annuler certains actes médicaux et de renvoyer des ambulances vers d'autres établissements.

« Nous sommes conscients que ces attaques sur des services d'urgence ont un lourd impact sur les patients et leurs familles et nous mettons tout en oeuvre pour remettre en route ces services vitaux », a indiqué le NCSC.

Un virus particulier qui ne se répand pas par email

Microsoft a publié un patch de sécurité il y a quelques mois pour réparer cette faille, mais de nombreux systèmes n'ont pas encore été mis à jour.

Selon la société Kaspersky, le logiciel malveillant a été publié en avril par le groupe de pirates « Shadow Brokers », qui affirme avoir découvert la faille informatique par la NSA.

« Contrairement à des virus normaux, ce virus se répand directement d'ordinateur à ordinateur sur des serveurs locaux, plutôt que par email », a précisé Lance Cottrell, directeur scientifique du groupe technologique américain Ntrepid. « Ce logiciel de rançon peut se répandre sans que qui que ce soit ouvre un email ou clique sur un lien ».

@ClaudeFP Suivre @ClaudeFP

lesechos.fr

 commentaire