Une cyber-attaque massive bloque des dizaines d'ordinateurs dans le monde

Royaume-Uni, Russie, Espagne, Portugal, France, Mexique… Vendredi 12 mai, des dizaines de milliers d’ordinateurs, dans au moins 99 pays, ont été infectés par un logiciel malveillant bloquant leur utilisation, dans ce qui semble être l’une des plus importantes campagnes de diffusion d’un logiciel de ce type depuis des années. 

Une attaque informatique internationale affectant plusieurs pays et touchant des organisations en Australie, en Belgique, en France, en Allemagne, en Italie et au Mexique est "d'un niveau sans précédent", a déclaré samedi l'Office européen des polices Europol.

Outre-Manche, c’est le système de santé qui a été largement perturbé par ce virus informatique. Examens médicaux annulés ou perturbés, communications téléphoniques affectées, accès aux données bloqués… le Service national de santé (NHS) britannique, qui englobe médecins de ville, hôpitaux et ambulances, a été largement déstabilisé vendredi après-midi par ce logiciel qui prend en otage les usagers des ordinateurs en bloquant l’accès à leurs fichiers.

« Oups, vos fichiers ont été encodés », signale l’écran parasite, qui exige le paiement de 300 dollars (275 euros) sous peine d’effacement des contenus. Selon le NHS, qui a ouvert une enquête, l’attaquant a utilisé WannaCry, un virus de type « ransomware » (« logiciel de rançon») qui se diffuse par le biais des courriels mais qui n’aurait pas pu accéder aux données personnelles des patients.

Capture d’écran d’un ordinateur d’un hôpital britannique infecté par le logiciel WannaCry, vendredi 12 mai. (© AP)

L’attaque aurait été renforcée par l’utilisation d’Eternal Blue, un outil de piratage mis au point par les services de renseignement américains et qui aurait été volé à l’Agence nationale de sécurité (NSA), affirme le quotidien britannique Financial Times. Il facilite la dissémination du virus à travers les systèmes de partage de fichiers couramment utilisés par les entreprises et les administrations.

NHS Digital, la structure qui centralise les usages médicaux de l’informatique par le système public de santé britannique, assure que le NHS n’était pas spécifiquement ciblé. Le centre national britannique de cybersécurité, une branche du Government Communications Headquarters, l’équivalent britannique de la NSA, a été mis en alerte.

Le ministère russe de l’intérieur affecté

Carte répertoriant les différentes attaques du logiciel de rançon "WannaCry" (© AP)

Le NHS n’a pas été la seule cible touchée par les pirates. La première ministre britannique, Theresa May, a déclaré dans la soirée que la cyberattaque contre le service public de santé était « une attaque internationale » touchant « plusieurs pays et organisations ».

Ainsi, Telefonica, le géant espagnol des télécommunications, et plusieurs autres entreprises du pays ont été victimes d’un virus similaire. « L’attaque a touché ponctuellement des équipements informatiques de travailleurs de différentes entreprises » et « n’affecte donc pas la prestation de services, ni l’exploitation des réseaux, ni l’usager de ces services », a assuré le ministère de l’énergie.

Telefonica, le géant espagnol des télécommunications, et plusieurs autres entreprises du pays ont été victimes d’un virus similaire

Le Centre cryptologique national espagnol – la division des services de renseignement chargée de la sécurité des technologies de l’information – a évoqué une « attaque massive de ransomware » qui « touche les systèmes Windows en cryptant tous leurs fichiers et ceux des réseaux en partage ».

Des opérateurs téléphoniques portugais et l’entreprise américaine de livraison FedEx ont également été touchés, de même que le ministère de l’intérieur russe, qui a indiqué, vendredi soir, que ses ordinateurs avaient été la cible d’une « attaque virale ».

L’attaque, à ce stade, semble d’ampleur limitée en France, mais le secrétariat général pour la défense et la sécurité nationale estime qu’il n’y a aucune raison que le pays soit épargné. Pour les autorités, la nouveauté tient dans la très forte capacité de propagation du logiciel malveillant, en dépit des correctifs déjà apportés par Microsoft en mars.

Outre le constructeur automobile Renault, le ministère de l’éducation nationale a été touché. Le ministère de la défense n’a pas repéré de problème et a pris des mesures dans la nuit de vendredi à samedi pour mettre à jour ses passerelles en fonction du virus, notamment au sein du service de santé des armées.

L’Agence nationale de sécurité des systèmes d’information diffuse des messages de bonnes pratiques. Le rendez-vous de lundi matin sera un test, dans les entreprises et les administrations, quand les personnels reprendront le travail. Selon la police française, plus de 75.000 ordinateurs ont été infectés dans le monde et ce nombre « devrait très vraisemblablement s’alourdir dans les jours qui viennent ». Cela en fait déjà la plus importante diffusion d’un logiciel de ce type de l’histoire.

Failles dites « zero day »

La NSA, comme d’autres agences de renseignement dans le monde, conserve généralement pour son propre usage les failles de sécurité que ses experts découvrent afin de mener des piratages offensifs.

D’après les premières constatations des experts, ce logiciel malveillant tire parti d’une faille de sécurité informatique, dont l’existence a été révélée à la mi-avril par un mystérieux groupe se faisant appeler The Shadow Brokers. Celui-ci avait rendu publique une série d’outils de piratage présentés comme faisant partie de l’arsenal de la NSA. La faille en question a été depuis corrigée par Microsoft, mais les ordinateurs dont le système d’exploitation n’est pas à jour restent vulnérables.

Edward Snowden, le lanceur d’alerte qui avait révélé l’existence des programmes secrets de surveillance du Web de la NSA, a estimé que l’agence américaine avait une importante part de responsabilité dans la diffusion de ce virus. « S’ils avaient révélé l’existence de cette faille de sécurité lorsqu’ils l’ont découverte, (...) tout cela ne serait pas arrivé », écrit-il sur son compte Twitter.

La NSA, comme d’autres agences de renseignement dans le monde, conserve généralement pour son propre usage les failles de sécurité que ses experts découvrent, ce qui lui permet de mener des piratages offensifs. Une pratique dénoncée par de nombreux experts en sécurité informatique, qui estiment que ces failles dites « zero day » – qui n’ont encore jamais été découvertes – doivent être corrigées dès leur découverte, car elles sont une source de danger pour tous les utilisateurs.

Fragilités britanniques

La cyber-attaque de grande envergure a paralysé les systèmes informatiques du service de santé nationale du Royaume-Uni (NHS) entrainant beaucoup de perturbations dans les hôpitaux et centres de santé du Royaume.

Cette problématique est particulièrement cruciale pour les ordinateurs équipés de Windows XP – un système d’exploitation ancien, pour lequel Microsoft ne propose plus de mises à jour mais qui équipe encore de nombreux ordinateurs. Notamment au sein du NHS britannique, comme dans d’autres administrations.

Au Royaume-Uni, le choc est particulièrement ressenti parce que le NHS est une institution très populaire, une source de fierté et un sujet ultrasensible du débat politique, en particulier dans la campagne actuelle pour les élections législatives, prévues le 8 juin. Cette administration tentaculaire, soumise à l’austérité budgétaire, souffre de faiblesses, notamment au niveau de son gigantesque système informatique, déjà visé par des attaques.

Dans un article publié le 10 mai par le prestigieux British Medical Journal, Krishna Chinthapalli, un neurologue exerçant dans un hôpital londonien, écrivait : « Nous devons nous préparer. D’autres hôpitaux vont presque certainement être paralysés par des “rançongiciels” cette année. » En 2016, quatre établissements hospitaliers anglais avaient déjà été paralysés plusieurs jours par un logiciel de ce type.

Selon ce médecin, les hôpitaux constituent des « cibles idéales » pour les maîtres chanteurs car ils détiennent des données uniques et sont « plus enclins » que d’autres institutions à payer pour récupérer rapidement leurs données. Krishna Chinthapalli rapporte qu’une attaque similaire a aussi visé un hôpital de Los Angeles l’an dernier. Une rançon de 3,4 millions de dollars avait été exigée. Selon des informations démenties par l’établissement, ce dernier a dû acquitter la somme de 17 000 dollars pour récupérer les données de ses patients.

Des logiciels prisés des réseaux criminels

Les ransomwares ont connu un développement exponentiel ces trois dernières années. (© EPA)

Les rançongiciels ont connu un développement exponentiel ces trois dernières années. Ils sont généralement conçus par des groupes criminels, et touchent le plus souvent les petites et moyennes entreprises, auxquelles ils extorquent des sommes variant entre quelques dizaines et quelques centaines d’euros par machine infectée – le paiement s’effectue en bitcoins, une monnaie virtuelle anonyme.

La plupart des victimes ne portent pas plainte. « Les entreprises pensent qu’en portant plainte elles terniront leur image et ne récupéreront pas nécessairement leurs données. Elles pensent aussi que payer la rançon coûtera moins cher que de payer une entreprise pour nettoyer leurs réseaux informatiques et installer des protections plus solides », regrettait, en 2016, dans un entretien au Monde, le commissaire François-Xavier Masson, chef de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication.

L’ampleur et la rapidité de diffusion de ce nouveau logiciel de rançonont cependant accru l’inquiétude des services de sécurité. Pour l’instant, rien ne permet de lier ce logiciel malveillant à un acteur étatique, et l’hypothèse d’un acte criminel classique, mené par des personnes ayant exploité les failles dévoilées par The Shadow Brokers, est la piste la plus logique. Mais dans un contexte marqué par plusieurs piratages d’ampleur, dont la publication, à la veille du deuxième tour de la présidentielle française, de courriels piratés de la campagne d’Emmanuel Macron, les services de sécurité informatique des pays les plus touchés mènent l’enquête.

En France, Belgique et d'autres pays européens, des mesures de sécurité ont été prises, notamment pour protéger le réseau des hôpitaux militaires. Les services gouvernementaux restent prudents, car il faudra du temps pour analyser le logiciel et sa diffusion, pour savoir s’il visait des organisations spécifiques, comme l’affirme Mme May, ou si sa prolifération était opportuniste. Et il en faudra encore plus pour espérer retrouver ses concepteurs.