À la uneNews

La cyberattaque mondiale utilise une faille de Windows

La vague de cyberattaques mondiales apparue mardi a utilisé une faille de Windows pour laquelle Microsoft avait déjà diffusé un correctif, a indiqué le groupe. L'attaque semble avoir d'abord ciblé l'Ukraine, selon des spécialistes en cybersécurité.
par
Nicolas
Temps de lecture 4 min.

Selon les premières analyses de Microsoft, «le rançongiciel utilise plusieurs techniques pour se propager, y compris celle qui a été traitée par une mise à jour de sécurité déjà diffusée pour tous les systèmes, de Windows XP à Windows 10, appelée MS17-010», a indiqué à l'AFP un porte-parole du groupe.

Attention aux fichiers inconnus

Au moment de WannaCry en mai, Microsoft avait déjà enjoint ses clients de déployer le correctif MS17-010. La faille et les moyens de l'exploiter avaient été précédemment divulgués dans des documents piratés de l'agence de sécurité américaine NSA. Microsoft «continue à enquêter et prendra les mesures nécessaires pour protéger ses clients», a-t-il ajouté, incitant ces derniers à la prudence à l'ouverture de fichiers inconnus car les «ransomwares utilisent habituellement les mails pour se propager».

Plusieurs sociétés de cybersécurité ou éditeurs d'antivirus ont soupçonné mardi que le nouveau virus utilisait cette faille, notamment Cisco Talos, qui avance également une piste quant au moyen d'entrée du virus dans les systèmes. Cisco Talos juge possible «que certaines infections soient liées aux mises à jour d'un logiciel de comptabilité utilisé en Ukraine, appelé MeDoc».

L'Ukraine et la Russie particulièrement ciblées

Après avoir obligé le géant pétrolier russe Rosneft à passer sur un serveur de secours et la centrale nucléaire ukrainienne de Tchernobyl à revenir à des mesures manuelles du niveau de radioactivité, le «ransonware» (rançongiciel) Petrwrap causait aussi des pannes informatiques chez le transporteur maritime Maersk, coupait le courant chez le propriétaire des biscuits Lu et Oreo et contraignait des salariés allemands de Nivea à cesser le travail. Le laboratoire pharmaceutique Merck est devenu la première victime connue aux États-Unis, son système informatique ayant été «compromis».

Le virus «se répand dans le monde entier, un grand nombre de pays sont affectés», a averti sur Twitter Costin Raiu, de la société russe de cybersécurité Kaspersky. Selon lui, l'Ukraine est le pays le plus touché devant la Russie et, dans une moindre mesure, la Pologne et l'Italie.

Des informations rapportées par plusieurs entreprises ciblées par ces attaques simultanées faisaient état d'un virus faisant apparaître une demande de rançon de 300 dollars en monnaie virtuelle sur l'écran de leurs ordinateurs.

Selon plusieurs spécialistes de cybersécurité, le virus responsable, «Petrwrap», est une version modifiée du ransonware Petya qui avait frappé l'an dernier. Kaspersky a de son côté affirmé qu'il s'agissait «d'un nouveau ransomware, qui n'a jamais été vu jusqu'ici.»

En Ukraine, le Premier ministre Volodymyr Groïsman a évoqué une attaque «sans précédent». «Les banques éprouvent des difficultés à prendre en charge leurs clients et faire des opérations bancaires», a indiqué la banque centrale.

A Kiev, les usagers du métro ne pouvaient plus acheter de tickets par carte bancaire tandis qu'à l'aéroport international, la plupart des panneaux d'affichage étaient éteints.

«Cette cyberattaque massive mène sur une piste russe», a affirmé le chef du Conseil de sécurité ukrainien, Oleksandre Tourtchinov.

La Russie a pourtant été directement frappée. Sa banque centrale a fait état d'établissements financiers infectés, de même que Rosneft, l'un des plus gros producteurs de pétrole au monde, qui a indiqué qu'un serveur de secours avait dû être mobilisé pour ne pas interrompre la production. Le sidérurgiste Evraz a également indiqué avoir été touché.

L'Europe et la Belgique également touchées

En Europe, plusieurs multinationales se sont dites affectées, notamment le transporteur maritime danois Maersk, qui opère notamment à partir du port de Zeebruges, et l'entreprise pharma MSD active en Belgique ont également été touchés. Contactée par l'agence Belga, la Computer Crime Unit indiquait en soirée ne pas encore avoir connaissance d'autres entreprises belges infectées. Elle demandait toutefois sur Twitter aux victimes de cette cyberattaque de se faire connaître.

 

Le géant britannique de la publicité WPP a également été visé.

En France, l'industriel Saint-Gobain, le distributeur Auchan et la SNCF ont indiqué avoir été touchés. L'entreprise ferroviaire a précisé que ses opérations n'étaient pas affectées.

Selon une source proche dossier, il est cependant encore «trop tôt» pour savoir combien d'entreprises ont été touchées et connaître l'ampleur des dégâts éventuels. Le parquet de Paris a ouvert une enquête.

En Allemagne, selon la chaîne de télé régionale NDR, «plus rien ne fonctionne au siège» de Beiersdorf, le fabricant de la crème Nivea, et de nombreux salariés ont dû rentrer chez eux. D'autres entreprise allemandes ont été frappées, selon l'Office pour la sécurité des techniques d'information (BSI), qui n'a pas donné de noms.

En Suisse, c'est Admeira, principale régie publicitaire de la confédération, qui a indiqué sur twitter avoir été touchée, et son site internet n'était plus accessible.

En Asie, un responsable du Centre d'alerte informatique de l'Inde a indiqué à l'AFP qu'aucune plainte concernant cette attaque n'avait encore été formulée dans le pays.