Cyberattaque mondiale : que s'est-il passé ?

L'attaque est "d'un niveau sans précédent". Une offensive numérique d'ampleur mondiale a sévi dès vendredi 12 mai, touchant une centaine de pays, des dizaines d'entreprises et d'organisations. "L'attaque récente est d'un niveau sans précédent et exigera une investigation internationale complexe pour identifier les coupables", a indiqué Europol, l'Office européen des polices, dans un communiqué. 

L'attaque surprend par son caractère immatériel mais aussi par l'étendue de sa cible. Comment cela s'est-il produit ? Les enquêteurs ont-ils une chance d'intercepter les responsables ? Le mode opératoire et l'importance des cibles touchées - comme le constructeur automobile français Renault - rebattent les cartes de la sécurité informatique et laissent penser que des conflits massifs peuvent désormais se jouer en ligne.

En quoi a consisté l'attaque ?

Cette attaque prendrait la forme d'une propagation de "rançongiciels", ou "ransomwares" en anglais, un programme qui verrouille les fichiers des utilisateurs. S'ils veulent recouvrer l'usage des fichiers en questions, ces derniers sont contraints de payer une somme d'argent sous forme de bitcoins, et l'accès aux fichiers est bloqué tant qu'une rançon n'a pas été versée. Les captures d'écran d'ordinateurs infectés du NHS britanniques montrent ainsi que les pirates demandent un paiement de 300 dollars en bitcoins. Le paiement doit intervenir dans les trois jours, ou le prix double, et si l'argent n'est pas versé dans les sept jours les fichiers piratés seront effacés. Les autorités américaines et britanniques ont conseillé aux particuliers, entreprises et organisations touchés de ne pas payer les pirates informatiques. L'attaque lancée le 12 mai "ne compromet pas la sécurité des données et il ne s'agit pas d'une fuite de données", selon le ministère de l'Énergie espagnol, également en charge du numérique. 

Comment s'est propagé le logiciel ?

À Moscou, une porte-parole du ministère de l'Intérieur russe, qui affirme avoir été attaqué, a déclaré que le virus s'attaquait aux PC tournant sous système d'exploitation Windows. L'entreprise de sécurité informatique Forcepoint Security Labs a évoqué "une campagne majeure de diffusion d'emails infectés", avec quelque 5 millions d'emails envoyés chaque heure répandant le logiciel malveillant appelé WCry, WannaCry, WanaCrypt0r, WannaCrypt ou Wana Decrypt0r. En France, l'Agence nationale de la sécurité des systèmes d'informations (Anssi) a publié sur son site internet une mise en garde contre ce logiciel malveillant "qui provoque le chiffrement de tous les fichiers d'un ordinateur".

Qui peut en être à l'origine ?

En France, le parquet de Paris a ouvert une enquête de flagrance dès le vendredi 12 mai au soir, pour "accès et maintien frauduleux dans des systèmes de traitement automatisé de données", "entraves au fonctionnement" de ces systèmes, et "extorsions et tentatives d'extorsions", mais les auteurs de l'attaque restent pour l'heure parfaitement inconnus. La ministre britannique de l'Intérieur Amber Rudd a affirmé sur la BBC que les autorités continuaient à tenter de les identifier. Si les auteurs de la cyberattaque ne sont pour l'heure pas identifiés par les autorités, une faille informatique avait été signalée dès le mois d'avril par le groupe de pirates "Shadow Brokers" comme le relate Le Monde. Microsoft avait procédé à une sorte de vaccin après la révélation. Un patch spécifique, sorte de rappel de vaccin, a été diffusé ce 13 mai pour empêcher la propagation du virus, y compris pour Windows XP, une version plus vulnérable puisqu'elle n'est aujourd'hui plus mise à jour.

Qui a été touché ?

De la Russie à l'Espagne et du Mexique au Vietnam, des dizaines de milliers d'ordinateurs ont été infectés par le logiciel de rançon, notamment en Europe. Parmi ces pays figurent notamment la Grande-Bretagne, l'Espagne, le Portugal, le Mexique, l'Australie et la Russie. Le système public des hôpitaux britanniques (NHS) ou le constructeur automobile français Renault font partie des grandes victimes. Renault a d'ailleurs été contraint de faire fermer plusieurs de ses sites, en France et en Slovénie. D'autres groupes, comme FeDex aux États-Unis ou l'opérateur téléphonique Telefonica en Espagne, ont été des cibles de choix pour ce "rançongiciel".

Vers la fin de l'attaque informatique ?

La cyberattaque n'est, ce samedi 13 mai, pas encore terminée. Le Centre européen de cybercriminalité (EC3) de l'Office européen des polices "collabore avec les unités de cybercriminalité des pays affectés et les partenaires industriels majeurs pour atténuer la menace et assister les victimes", précise Europol. Il semblerait en tout cas que l'attaque se trouve en décroissance ce samedi 13 mai en fin de journée. "Nous sommes sur la pente descendante, les nouvelles infections sont très rares, a constaté Vikram Thakur, un chercheur de l’entreprise de sécurité informatique Symantec, interrogé par le Guardian. Les chiffres sont très bas et continuent de descendre."

À écouter aussi

Immersion dans les labos du crime

LES EXPERTS DU CRIME - Comment fait-on parler les ordinateurs et les téléphones en repérant les traces technologiques

23/08/2023 à 02:00 - 17m59s