La cyberattaque mondiale au ransomware, démarrée en Ukraine et en Russie, semblait contenue mercredi après avoir touché des milliers d’ordinateurs et a rappelé, un mois et demi après WannaCry, la menace de telles attaques sur des infrastructures critiques.
Si l’ampleur des dégâts paraît minime par rapport aux centaines de milliers de victimes de WannaCry début mai, le virus, qui bloque des ordinateurs jusqu’au paiement d’une rançon de 300 dollars en monnaie virtuelle, a affecté les contrôles sur le site de l’accident nucléaire de Tchernobyl, l’aéroport de Kiev et des bureaux de multinationales dans le monde entier.
Plus de 2.000 utilisateurs ont été concernés, essentiellement en Ukraine et en Russie, selon Kaspersky Labs.
Ce spécialiste de la sécurité informatique basé en Russie avait auparavant estimé que ce rançongiciel n’était pas une nouvelle version du virus Petya, désigné par de nombreux spécialistes et déjà à l’oeuvre l’année dernière, mais bien d’un nouveau type de virus.
« Cela semble être une attaque complexe, qui utilise plusieurs vecteurs afin de se propager au moins au sein des réseaux des entreprises visées », a détaillé la société.
Selon Microsoft, la vague d’attaques « utilise plusieurs techniques pour se propager », et notamment une faille de Windows pour laquelle le groupe avait déjà diffusé un correctif.
Elle a affecté les travaux de géants de nombreux secteurs: le pétrolier russe Rosneft, le transporteur maritime danois Maersk, le laboratoire pharmaceutique américain Merck, le spécialiste français des matériaux de construction Saint-Gobain, le publicitaire britannique WPP…
Le 12 mai, « Wannacry » avait affecté des centaines de milliers d’ordinateurs dans le monde, paralysant notamment les services de santé britanniques (NHS) et des usines du constructeur automobile français Renault. Ses auteurs réclamaient également une rançon pour débloquer les appareils.
L’éditeur américain d’antivirus Symantec avait mis en cause le groupe de pirates informatiques Lazarus, soupçonné d’avoir partie liée avec la Corée du Nord.
‘Faiblesses existantes’
Un mois et demi plus tard, la nouvelle attaque rappelle que la cybersécurité reste un défi pour les entreprises du secteur.
« L’attaque que le monde connaît en ce moment est une attaque industrialisée et automatisée qui est fondée sur une analyse très intelligente des réseaux pour détecter les faiblesses existantes », a jugé mardi le secrétaire d’Etat français au Numérique Mounir Mahjoubi au cours d’un déplacement à New York.
En Ukraine, pays le plus touché, le Premier ministre Volodymyr Groïsman a évoqué une attaque « sans précédent ».
Les banques ont été directement touchées, perturbant leurs opérations et empêchant par exemple les passagers du métro de Kiev de régler leurs tickets par carte. Ce service fonctionnait de nouveau mercredi matin.
Les écrans d’informations du premier aéroport du pays, Kiev-Boryspil, ont été temporairement indisponibles mardi. Mercredi, ils fonctionnaient mais les horaires actualisés n’étaient pas disponibles en temps réel sur son site internet.
Sur le site de la centrale de Tchernobyl, où s’était produite en avril 1986 la pire catastrophe nucléaire civile de l’histoire, la mesure du niveau de radiation devait être effectuée par des techniciens au lieu d’être suivie informatiquement.
Une porte-parole de l’agence de gestion de la zone, Olena Kovaltchouk, a indiqué mercredi à l’AFP qu’il était trop tôt pour dire quand un retour au fonctionnement habituel serait possible.
Le chef du Conseil de sécurité ukrainien, Oleksandre Tourtchinov, a annoncé un renforcement des mesures antiterroristes et désigné, sans surprise, la Russie comme responsable de cette attaque.
La Russie a pourtant été directement frappée. Sa banque centrale a fait état d’établissements financiers infectés, de même que Rosneft, l’un des plus gros producteurs de pétrole au monde, qui a indiqué qu’un serveur de secours avait dû être mobilisé pour ne pas interrompre la production.
Source: AFP