Enquêteurs et experts informatiques internationaux sont lancés sur les traces des pirates informatiques à l’origine de la cyberattaque « sans précédent » qui a touché des dizaines de milliers d’ordinateurs dans une centaine de pays vendredi et samedi.
Cette attaque, qui a débuté vendredi, a notamment touché les hôpitaux britanniques, le constructeur automobile français Renault, le système bancaire russe, le groupe américain FedEx ou encore des universités en Grèce et en Italie.
L’attaque est « d’un niveau sans précédent » et « exigera une enquête internationale complexe pour identifier les coupables », a indiqué l’Office européen des polices Europol, en précisant qu’une équipe dédiée au sein de son Centre européen sur la cybercriminalité avait été « spécialement montée pour aider dans cette enquête, et qu’elle jouera un rôle important ».
45 hôpitaux anglais touchés
La police française avait elle parlé de « plus de 75.000 » ordinateurs touchés dans le monde. Mais ce bilan « devrait s’alourdir dans les jours qui viennent », a précisé Valérie Maldonado, de la sous-direction française de la lutte contre la cybercriminalité.
De la Russie à l’Espagne et du Mexique au Vietnam, des dizaines de milliers d’ordinateurs, surtout en Europe, ont été infectés par logiciel de rançon, un « rançongiciel », exploitant une faille dans les systèmes Windows, divulguée dans des documents piratés de l’agence de sécurité américaine NSA.
Ce logiciel malveillant verrouille les fichiers des utilisateurs et les force à payer une somme d’argent, en l’occurrence 300 dollars (275 euros), pour en recouvrer l’usage. La rançon est demandée en monnaie virtuelle bitcoin, difficile à tracer.
Les experts restaient très prudents samedi sur l’expansion du virus: « On ne sait pas encore si on est sur une pente ascendante ou descendante », a expliqué à l’AFP Laurent Maréchal, expert en cybersécurité chez McAfee.
Le service public de santé britannique (NHS, 1,7 million de salariés) semble avoir été l’une des principales victimes. « Environ 45 établissements » ont été touchés, a indiqué la ministre britannique de l’Intérieur Amber Rudd sur la BBC. Plusieurs d’entre eux ont été obligés d’annuler ou de reporter des interventions médicales.
Le constructeur automobile français Renault a aussi reconnu avoir été affecté. Notamment l’usine de Dacia Renault en Roumanie et l’usine britannique de Sunderland du japonais Nissan, partenaire de Renault.
Peu d’impact réel
La Banque centrale russe a annoncé que son système bancaire avait été visé par la cyberattaque, ainsi que plusieurs ministères, et que les pirates avaient tenté de forcer les installations informatiques du réseau ferroviaire.
Le géant américain de livraison de colis FedEx ou encore la compagnie de télécoms espagnole Telefonica, où les employés ont été appelés par mégaphone à éteindre leurs ordinateurs en catastrophe, ont également été affectés.
L’ancien hacker espagnol Chema Alonso, devenu responsable de la cybersécurité de Telefonica, a cependant estimé sur son blog que malgré « le bruit médiatique qu’il a produit, ce +ransomware+ n’a pas eu beaucoup d’impact réel » car « on peut voir sur le portefeuille bitcoin utilisé que le nombre de transactions » est faible.
Selon le dernier décompte samedi, assure-t-il, seulement « 6.000 dollars ont été payés » aux rançonneurs. Ce montant modeste incite Amar Zendik, dirigeant de la société de sécurité Mind Technologies, à pencher pour une attaque menée par des « hackers » souhaitant « faire un coup » plutôt que de récupérer de l’argent.
Initiative inhabituelle, Microsoft a décidé de réactiver une mise à jour de certaines versions de ses logiciels pour contrer cette attaque. Le virus s’attaque notamment à la version Windows XP, dont Microsoft n’assure plus en principe le suivi technique. Le nouveau logiciel d’exploitation (OS) Windows 10 n’est pas visé par l’attaque.
Ne pas payer
Les autorités américaines, britanniques et françaises ont conseillé aux particuliers, entreprises et organisations touchés de ne pas payer les pirates informatiques.
« Payer la rançon ne garantit pas de récupérer les documents cryptés », a ainsi averti l’équipe de réponse d’urgence du département américain à la Sécurité intérieure: « Cela garantit seulement que les hackers recevront l’argent de la victime, et dans certains cas, ses données bancaires en prime ».
Les ministres des Finances du G7, réunis samedi à Bari (sud-est de l’Italie), ont érigé la lutte contre le piratage informatique au rang de priorité. Ce dossier de la cybercriminalité devrait être au menu des discussions des leaders du G7 eux-mêmes en juin.
La dernière attaque « ne semble pas avoir causé de problème au système financier pour l’instant », a cependant commenté le gouverneur de la Banque d’Italie, Ignazio Visco.
Selon la société Kaspersky, le logiciel malveillant a été publié en avril par le groupe de pirates « Shadow Brokers », qui affirme avoir découvert la faille informatique par la NSA.
« Si la NSA avait discuté en privé de cette faille quand ils l’ont +découverte+, plutôt que quand elle leur a été volée, ça aurait pu être évité », a regretté sur Twitter Edward Snowden, l’ancien consultant de la NSA qui avait dévoilé en 2013 l’ampleur de la surveillance mise en place par les Etats-Unis.