RACKET 2.0 - Enquêteurs et experts informatiques internationaux continuent de traquer les hackers à l’origine de la cyberattaque mondiale via le ransomware Wannacry, qui a fait plus de 200.000 victimes dans au moins 150 pays. Ils redoutent une recrudescence du virus lundi lorsque des millions d'ordinateurs seront rallumés.

Matthieu Delacharlery

Du jamais-vu ! La vague de cyberattaques, survenue vendredi 13 mai, a fait au moins "200.000 victimes, essentiellement des entreprises, dans au moins 150 pays", a indiqué Rob Wainwright, le directeur d'Europol, dans un entretien accordé ce dimanche à la chaîne britannique ITV. En moins de quarante-huit heures, cette attaque informatique, qualifiée de "sans précédent" par l'Office européen de police, a frappé des dizaines de milliers d'ordinateurs, affectant le fonctionnement de nombreuses entreprises et organisations, dont les hôpitaux britanniques, le constructeur automobile français Renault,  le ministère de l'Intérieur russe, l'opérateur télécom espagnol Telefonica, ou bien encore le géant américain de la livraison de colis FedEx.

Dimanche, les enquêteurs et experts en sécurité informatique ignoraient toujours l'identité des hackers, alors que la menace d'une nouvelle attaque informatique plane toujours sur les systèmes informatiques de milliers d'entreprises et d'institutions. "Nous menons des opérations contre environ 200 cyberattaques par an, mais nous n’avions encore jamais rien vu de tel", a souligné le patron de l'Office européen de police, qui craint que le nombre de victimes ne continue à croître, "lorsque les gens retourneront à leur travail lundi et allumeront leur ordinateur". 

Que sait-on de cette cyberattaque ?

WannaCry, c'est le nom du désormais célèbre logiciel utilisé par les hackers pour mener à bien cette campagne de racket numérique à grande échelle. Ce programme informatique, de la famille des "rançongiciels" (ransomware), chiffre le contenu des ordinateurs sur lesquels il est installé pour le rendre inaccessible à son propriétaire et réclame une rançon de 300 dollars (275 euros) à payer en Bitcoin, une monnaie virtuelle considérée comme intraçable, pour le déverrouiller. Les pirates informatiques auraient exploité, semble-t-il, une faille dans Windows, divulguée en avril par le groupe de pirates "Shadow Brokers", dans des documents piratés de l'agence de sécurité nationale américaine NSA.

Des images ont été partagées sur les réseaux sociaux avec des écrans d'ordinateurs du système public de santé britannique (NHS) demandant le paiement d'une rançon : "Oups, vos dossiers ont été cryptés". Le paiement doit intervenir dans les trois jours, ou le prix double, et si l'argent n'est pas versé dans les sept jours, les fichiers piratés seront effacés, précise le message. "A ce stade, nous n'avons pas d'élément permettant de penser qu'il y a eu accès à des données de patients", a cependant voulu rassurer la direction du service public de santé britannique. L'attaque a toutefois sérieusement désorganisé des dizaines d'hôpitaux, contraints d'annuler certains actes médicaux et de renvoyer des ambulances vers d'autres établissements.

Pourquoi s'est-elle répandue si vite ?

5 millions d'emails envoyés chaque heure. Si ce type de logiciel est assez courant, WanaCry se distingue des autres par l’extrême rapidité de sa propagation. Elle peut se faire de deux manières : lorsqu’un utilisateur ouvre une pièce jointe corrompue (document Word ou PDF), mais aussi par le réseau local, sans la moindre intervention humaine : en effet, WanaCrypt0r 2.0 est un logiciel élaboré, qui scanne l’infrastructure réseau depuis les machines sur lesquelles il est installé, pour se diffuser ensuite à toutes les machines proches. "C'est comme le virus de la grippe : si vous croisez une personne infectée, vous risquez à votre tour d'être contaminé", explique à LCI Nicolas Arpagian, directeur scientifique à l’Institut des hautes études de la sécurité et de la justice et auteur de  la Cybersécurité (Que sais-je, PUF).

Comment a-t-on pu stopper sa propagation ?

La propagation massive de WanaCrypt était quasi stoppée samedi en début d'après-midi, en raison d’un coup de chance. Un chercheur britannique en cybersécurité de 22 ans a indiqué sur Twitter avoir trouvé une parade pour ralentir la propagation du virus. Tweetant à partir de @Malwaretechblog, il avait remarqué la présence d’une URL dans le code informatique du logiciel malveillant. En achetant le nom de domaine correspondant, il a déclenché, sans le vouloir, une procédure "de secours" prévue par les concepteurs du virus, qui a bloqué sa diffusion. La publication en urgence par Microsoft samedi matin d'un "patch de sécurité destiné aux vieilles versions de son système d'exploitation, comme Windows XP, a également pu ralentir la propagation du logiciel malveillant.

Qui se cache derrière cette attaque ?

Samedi 13 mai, l'Office européen de police annoncé samedi qu’une équipe dédiée au sein de son Centre européen sur la cybercriminalité avait été "spécialement montée pour aider" l’enquête internationale chargée d’identifier les coupables. Cependant, il est très difficile d'identifier et même de localiser les auteurs de l'attaque. Nous menons un combat compliqué face à des groupes de cybercriminalité de plus en plus sophistiqués qui ont recours à l'encryptage pour dissimuler leur activité. La menace est croissante", a insisté Rob Wainwright, le directeur d'Europol, lors d'une conférence de presse ce dimanche.

En France, une enquête de flagrance a été ouverte dès vendredi soir pour "accès et maintien frauduleux dans des systèmes de traitement automatisé de données", "entraves au fonctionnement" de ces systèmes, "extorsions et tentatives d'extorsions". Le parquet de Paris, qui dispose d'une compétence nationale pour ce type d'attaques informatiques, a décidé d'ouvrir cette enquête sans attendre la formalisation des plaintes qui seront versées à la procédure, a indiqué une source judiciaire. L'enquête vise notamment les atteintes subies par le groupe Renault. Par mesure de précaution, le constructeur automobile français a annoncé dimanche que son usine de Douai (Nord), l'une des plus importantes du groupe, sera à l'arrêt lundi en raison de la cyberattaque mondiale.

Combien d'argent les hackers ont-ils empoché ?

A 14h30 ce dimanche, 124 transactions avaient été effectuées pour un montant global de 18,28 bitcoins, soit 30.630 euros, selon Le Parisien. Le patron d'Europol a confirmé dimanche qu'il y avait eu "remarquablement peu de paiements jusque-là", sans donner toutefois de chiffres précis. Si les motivations des pirates ne sont pas encore connues, pour Guillaume Poupard, le patron de l’Agence nationale de la sécurité des systèmes d’information, interrogé par Le Monde, "tout, dans ce scénario, fait penser à une attaque criminelle". 

Comment protéger son ordinateur ?

Cette méthode d’extorsion est aujourd'hui très prisée par les hackers. Et pour cause : ce type d'attaque est relativement facile à faire et peut rapporter gros, tout en garantissant aux pirates une relative impunité, malheureusement. En 2016, pas moins de 638 millions d’attaques de ce type ont été recensées dans le monde, contre moins de 4 millions l’année précédente, selon le dernier rapport annuel de l'éditeur de solutions de sécurité informatique Sonic Wall. Plusieurs mesures peuvent être prises afin de limiter les infections sur votre ordinateur.

Source : LCI