Elle cible plusieurs entreprises aux activités diverses / Une cyberattaque de grande ampleur se répand dans le monde

Partagez cet article
FaceBook  Twitter     
Un grand nombre de pays affectés


Chantage  Selon plusieurs entreprises attaquées, le virus fait apparaître une demande de rançon de 300 dollars en monnaie virtuelle sur l'écran des ordinateurs.


Une vague massive de cyberattaques au ransomware, rappelant le mode opératoire du virus WannaCry en mai, a touché des multinationales et des sociétés et services européens et américains, après avoir frappé en Ukraine et en Russie.
Après avoir obligé, hier, le géant pétrolier russe Rosneft à passer sur un serveur de secours et la centrale nucléaire ukrainienne de Tchernobyl à revenir à des mesures manuelles du niveau de radioactivité, le "ransomware" (rançongiciel) Petrwrap causait des pannes informatiques chez le transporteur maritime Maersk, coupait le courant chez le propriétaire des biscuits Lu et Oreo, contraignait des salariés allemands de Nivea à cesser le travail... Le laboratoire pharmaceutique Merck est devenu sa première victime connue aux Etats-Unis, son système informatique ayant été "compromis".
Le virus "se répand dans le monde entier, un grand nombre de pays sont affectés", a averti Costin Raiu, de la société russe de cybersécurité Kaspersky. Selon lui, l'Ukraine est le pays le plus touché devant la Russie et, dans une moindre mesure, la Pologne et l'Italie. Selon Microsoft, la vague d'attaques "utilise plusieurs techniques pour se propager", et notamment une faille de Windows pour laquelle le groupe avait déjà diffusé un correctif. Selon plusieurs entreprises attaquées, le virus fait apparaître une demande de rançon de 300 dollars en monnaie virtuelle sur l'écran des ordinateurs.
D'après plusieurs spécialistes de cybersécurité, le virus responsable, "Petrwrap", est une version modifiée du ransomware Petya qui avait frappé l'an dernier. Kaspersky a de son côté affirmé qu'il s'agissait "d'un nouveau ransomware, qui n'a jamais été vu jusqu'ici."
En Russie et Ukraine, Petrwarp a touché des dizaines de cibles aussi variées que des banques, les fabricants des confiseries Mars ou des produits de soin Nivea, le groupe de distribution Auchan et des structures gouvernementales ukrainiennes, a ainsi indiqué l'entreprise russe de cybersécurité Group-IB.
Le 12 mai, un autre rançongiciel, "Wannacry", avait affecté des centaines de milliers d'ordinateurs dans le monde, paralysant notamment les services de santé britanniques (NHS) et des usines du constructeur automobile français Renault. Ses auteurs réclamaient une rançon pour débloquer les appareils. L'éditeur américain d'antivirus Symantec avait mis en cause le groupe de pirates informatiques Lazarus, soupçonné d'avoir partie liée avec la Corée du Nord.

Un niveau sans précédent

En Europe, plusieurs multinationales se sont dites affectées, notamment le transporteur maritime danois Maersk ou le géant britannique de la publicité WPP. En France, l'industriel Saint-Gobain, le distributeur Auchan et la SNCF ont indiqué avoir été touchés. Les opérations de l'entreprise ferroviaire n'étaient pas affectées. Selon une source proche du dossier, il est encore "trop tôt" pour connaître l'ampleur des dégâts éventuels, différentes polices au niveau mondial devant d'abord enquêter ensemble, comme cela s'est passé lors de l'attaque causée par le virus Wannacry en mai. Le parquet de Paris a ouvert une enquête. "Le niveau de cette attaque est sans précédent", a commenté le secrétaire d'Etat français au Numérique Mounir Mahjoubi. En Allemagne, selon la chaîne de télé régionale NDR, "plus rien ne fonctionne au siège" de Beiersdorf, qui fabrique la crème Nivea. De nombreux salariés ont dû rentrer chez eux. D'autres entreprise allemandes ont été frappées, selon l'Office pour la sécurité des techniques d'information (BSI). En Suisse, c'est Admeira, principale régie publicitaire de la confédération, qui a indiqué sur twitter avoir été touchée, et son site internet n'était plus accessible. En Asie, un responsable du Centre d'alerte informatique de l'Inde a affirmé n'avoir encore reçu aucune plainte concernant cette attaque. Mais des consignes vont être données au cas où..., a-t-il ajouté.

Panne informatique à Tchernobyl

En Ukraine, le Premier ministre Volodymyr Groïsman a évoqué une attaque "sans précédent". "Les banques éprouvent des difficultés à prendre en charge leurs clients et faire des opérations bancaires", a indiqué la banque centrale. Le site du gouvernement ukrainien a été bloqué, tout comme celui de la centrale de Tchernobyl, où s'était produite en avril 1986 la pire catastrophe nucléaire civile de l'histoire. En raison de pannes informatiques, la mesure du niveau de radiation sur le site, à l'arrêt total depuis 2000, devait se faire manuellement. A Kiev, les usagers du métro ne pouvaient plus acheter de tickets par carte bancaire, tandis qu'à l'aéroport international la plupart des panneaux d'affichage étaient éteints. "Cette cyberattaque massive mène sur une piste russe", a affirmé le chef du Conseil de sécurité ukrainien, Oleksandre Tourtchinov. La Russie a pourtant été directement frappée. Sa banque centrale a fait état d'établissements financiers infectés, de même que Rosneft, l'un des plus gros producteurs de pétrole au monde, qui a indiqué qu'un serveur de secours avait dû être mobilisé pour ne pas interrompre la production. Le sidérurgiste Evraz a également indiqué avoir été touché.

Des milliers d'ordinateurs ciblés


Accusation -  Le chef du Conseil de sécurité ukrainien, Oleksandre Tourtchinov, a annoncé  un renforcement des mesures antiterroristes et désigné, sans surprise, la Russie comme responsable de cette attaque. La Russie a pourtant été directement frappée.


La cyberattaque mondiale au ransomware, démarrée en Ukraine et en Russie, semblait contenue ce mercredi après avoir touché des milliers d'ordinateurs et a rappelé, un mois et demi après WannaCry, la menace de telles attaques sur des infrastructures critiques.
Si l'ampleur des dégâts paraît minime par rapport aux centaines de milliers de victimes de WannaCry début mai, le virus, qui bloque des ordinateurs jusqu'au paiement d'une rançon de 300 dollars en monnaie virtuelle, a affecté les contrôles sur le site de l'accident nucléaire de Tchernobyl, l'aéroport de Kiev et des bureaux de multinationales dans le monde entier. Plus de 2.000 utilisateurs ont été concernés, essentiellement en Ukraine et en Russie, selon Kaspersky Labs.
Ce spécialiste de la sécurité informatique basé en Russie avait auparavant estimé que ce rançongiciel n'était pas une nouvelle version du virus Petya, désigné par de nombreux spécialistes et déjà à l'œuvre l'année dernière, mais bien d'un nouveau type de virus. "Cela semble être une attaque complexe, qui utilise plusieurs vecteurs afin de se propager au moins au sein des réseaux des entreprises visées", a détaillé la société. Selon Microsoft, la vague d'attaques "utilise plusieurs techniques pour se propager", et notamment une faille de Windows pour laquelle le groupe avait déjà diffusé un correctif.
Elle a affecté les travaux de géants de nombreux secteurs: le pétrolier russe Rosneft, le transporteur maritime danois Maersk, le laboratoire pharmaceutique américain Merck, le spécialiste français des matériaux de construction Saint-Gobain, le publicitaire britannique WPP...
Le 12 mai, "Wannacry" avait affecté des centaines de milliers d'ordinateurs dans le monde, paralysant notamment les services de santé britanniques (NHS) et des usines du constructeur automobile français Renault. Ses auteurs réclamaient également une rançon pour débloquer les appareils.
L'éditeur américain d'antivirus Symantec avait mis en cause le groupe de pirates informatiques Lazarus, soupçonné d'avoir partie liée avec la Corée du Nord. Un mois et demi plus tard, la nouvelle attaque rappelle que la cybersécurité reste un défi pour les entreprises du secteur.
"L'attaque que le monde connaît en ce moment est une attaque industrialisée et automatisée qui est fondée sur une analyse très très intelligente des réseaux pour détecter les faiblesses existantes", a jugé hier le secrétaire d'Etat français au Numérique Mounir Mahjoubi au cours d'un déplacement à New York. En Ukraine, pays le plus touché, le Premier ministre Volodymyr Groïsman a évoqué une attaque "sans précédent". Les banques ont été directement touchées, perturbant leurs opérations et empêchant par exemple les passagers du métro de Kiev de régler leurs tickets par carte.
Ce service fonctionnait de nouveau ce mercredi matin. Les écrans d'informations du premier aéroport du pays, Kiev-Boryspil, ont été temporairement indisponibles hier. Ce mercredi, ils fonctionnaient mais les horaires actualisés n'étaient pas disponibles en temps réel sur son site internet.

Une montée en puissance depuis dix ans


Repères -  Voici les principales attaques des dix dernières années, entre "cyberguerre", "hacktivisme"  et "cybercriminalité".


- "Cyberguerre" - L'Estonie est le premier Etat frappé par une cyberattaque majeure en 2007 en plein conflit diplomatique avec la Russie, qui paralyse pendant plusieurs jours son réseau internet et bancaire. L'Estonie accuse Moscou qui dément. Un an plus tard, la Géorgie subit aussi une cyberattaque. En juillet 2009, les sites internet de la Maison Blanche, du Département d'Etat, du Pentagone ou de la Bourse de New York sont touchés par des attaques coordonnées qui affectent également la présidence sud-coréenne comme les ministères de la Défense et des Affaires étrangères. A l'automne 2014, Pyongyang est mis en cause dans le piratage du studio de cinéma américain Sony, contraint d'annuler la sortie d'une comédie sur un complot fictif de la CIA pour assassiner le leader nord-coréen Kim Jong-Un.
Fin mai, le Qatar a affirmé que son agence officielle QNA avait subi un piratage sans précédent, avec la diffusion de faux propos attribués à l'émir cheikh Tamim ben Hamad Al-Thani, traitant de questions régionales hautement sensibles. Cette affaire a été l'un des éléments déclencheurs d'une grave crise diplomatique entre Doha, trois de ses voisins du Golfe et l'Egypte qui ont rompu leurs relations avec le petit émirat. Le Qatar a accusé des "pays voisins" d'être à l'origine du "piratage". Le FBI participe à l'enquête.
- "Cyberterrorisme" et "cybercriminalité" - En janvier 2015, des hackers se réclamant du groupe jihadiste Etat islamique (EI) prennent brièvement le contrôle des comptes Twitter et YouTube du commandement militaire américain au Moyen-Orient (Centcom). Deux mois plus tard, un groupe se présentant comme la "Division des hackers de l'Etat islamique" met en ligne une liste de 100 militaires américains à abattre. Grandes entreprises et médias sont aussi ciblés par des attaques cybercriminelles. A deux reprises, en 2013 et 2014, le groupe internet américain Yahoo! et des centaines de millions de ses utilisateurs ont été visés.
- "Hacktivisme" - Anonymous, le plus connu des groupes de piratage informatique, s'attaque depuis quinze ans à de multiples cibles sous couvert de lutte contre les injustices: des sites gouvernementaux dont le Pentagone, l'Eglise de Scientologie, l'EI ou le groupe bancaire MasterCard. Le site Wikileaks, créé il y a dix ans par l'Australien Julian Assange, s'est lui spécialisé dans le piratage de documents classifiés, mettant en ligne en 2010, 251.000 correspondances d'ambassades américaines puis des milliers de documents militaires sur l'Afghanistan. Il a également publié les emails piratés du parti démocrate américain en 2016 en pleine campagne pour la présidentielle. Les agences de renseignement ont accusé la Russie d'interférer pour favoriser le républicain Donald Trump, élu en novembre. Une affaire comparable a éclaté en mai 2017 en France, à quelques heures du second tour de la présidentielle, avec la diffusion de milliers de documents de l'entourage du futur président Emmanuel Macron.
- "Rançongiciel", le précédent de Wannacry - En mai 2017, le monde subit une cyberattaque sans précédent, affectant 300.000 ordinateurs dans 150 pays. L'attaque est lancée via "WannaCry", un "rançongiciel" (contraction de rançon et logiciel, ransomware en anglais), qui verrouille les fichiers des utilisateurs, leur réclamant 300 dollars (275 euros) pour en recouvrer l'usage. La rançon est réclamée en bitcoin, monnaie virtuelle qui préserve l'anonymat.