Une cyberattaque massive bloque des ordinateurs dans des dizaines de pays
Une cyberattaque massive bloque des ordinateurs dans des dizaines de pays
Par Nathalie Guibert, Damien Leloup, Philippe Bernard (Londres, correspondant)
Les attaques, visant à rançonner les sites touchés, ont notamment perturbé les hôpitaux britanniques, le ministère de l’intérieur russe et des opérateurs télécoms.
Les « rançongiciels » bloquent l’accès aux données d’un ordinateur, tant qu’une rançon n’est pas payée. | QUENTIN HUGON / LE MONDE
Royaume-Uni, Russie, Espagne, Portugal, France, Mexique… Vendredi 12 mai, des dizaines de milliers d’ordinateurs, dans au moins 99 pays, ont été infectés par un logiciel malveillant bloquant leur utilisation, dans ce qui semble être l’une des plus importantes campagnes de diffusion d’un logiciel de ce type depuis des années.
Outre-Manche, c’est le système de santé qui a été largement perturbé par ce virus informatique. Examens médicaux annulés ou perturbés, communications téléphoniques affectées, accès aux données bloqués… le Service national de santé (NHS) britannique, qui englobe médecins de ville, hôpitaux et ambulances, a été largement déstabilisé vendredi après-midi par ce logiciel qui prend en otage les usagers des ordinateurs en bloquant l’accès à leurs fichiers.
« Oops, vos fichiers ont été encodés », signale l’écran parasite, qui exige le paiement de 300 dollars (275 euros) sous peine d’effacement des contenus. Selon le NHS, qui a ouvert une enquête, l’attaquant a utilisé WannaCry, un virus de type « ransomware » (« rançongiciel ») qui se diffuse par le biais des courriels mais qui n’aurait pas pu accéder aux données personnelles des patients.
L’attaque aurait été renforcée par l’utilisation d’Eternal Blue, un outil de piratage mis au point par les services de renseignements américains et qui aurait été volé à l’Agence nationale de sécurité (NSA), affirme le quotidien britannique Financial Times. Il facilite la dissémination du virus à travers les systèmes de partage de fichiers couramment utilisés par les entreprises et les administrations.
NHS Digital, la structure qui centralise les usages médicaux de l’informatique par le système public de santé britannique, assure que le NHS n’était pas spécifiquement ciblé. Le centre national britannique de cybersécurité, une branche du Government Communications Headquarters, l’équivalent britannique de la NSA, a été mis en alerte.
Le ministère russe de l’intérieur affecté
Le NHS n’a pas été la seule cible touchée par les pirates. La première ministre britannique, Theresa May, a déclaré dans la soirée que la cyberattaque contre le service public de santé était « une attaque internationale » touchant « plusieurs pays et organisations ».
Ainsi, Telefonica, le géant espagnol des télécommunications, et plusieurs autres entreprises du pays ont été victimes d’un virus similaire. « L’attaque a touché ponctuellement des équipements informatiques de travailleurs de différentes entreprises » et « n’affecte donc pas la prestation de services, ni l’exploitation des réseaux, ni l’usager de ces services », a assuré le ministère de l’énergie.
Le Centre cryptologique national espagnol – la division des services de renseignements chargée de la sécurité des technologies de l’information – a évoqué une « attaque massive de ransomware » qui « touche les systèmes Windows en cryptant tous leurs fichiers et ceux des réseaux en partage ».
Des opérateurs téléphoniques portugais et l’entreprise américaine de livraison FedEx ont également été touchés, de même que le ministère de l’intérieur russe, qui a indiqué, vendredi soir, que ses ordinateurs avaient été la cible d’une « attaque virale ».
Failles dites « zero day »
D’après les premières constatations des experts, ce logiciel malveillant tire partie d’une faille de sécurité informatique, dont l’existence a été révélée à la mi-avril par un mystérieux groupe se faisant appeler « The Shadow Brokers », qui avait rendu publics une série d’outils de piratage présentés comme faisant partie de l’arsenal de la NSA. La faille en question a été depuis corrigée par Microsoft, mais les ordinateurs dont le système d’exploitation n’est pas à jour restent vulnérables.
Edward Snowden, le lanceur d’alerte qui avait révélé l’existence des programmes secrets de surveillance du Web de la NSA, a estimé que l’agence américaine avait une importante part de responsabilité dans la diffusion de ce virus. « S’ils avaient révélé l’existence de cette faille de sécurité lorsqu’ils l’ont découverte, et non lorsqu’ils l’ont perdue, tout cela ne serait pas arrivé », écrit -il sur son compte Twitter.
La NSA, comme d’autres agences de renseignement dans le monde, conserve généralement pour son propre usage les failles de sécurité que ses experts découvrent, ce qui lui permet de mener des piratages offensifs.
Une pratique dénoncée par de nombreux experts en sécurité informatique, qui estiment que ces failles dites « zero day » – qui n’ont encore jamais été découvertes – doivent être corrigées dès leur découverte, car elles sont une source de danger pour tous les utilisateurs.
Fragilités britanniques
Cette problématique est particulièrement cruciale pour les ordinateurs équipés de Windows XP – un système d’exploitation ancien, pour lequel Microsoft ne propose plus de mises à jour, mais qui équipe encore de nombreux ordinateurs. Notamment au sein du NHS britannique, comme dans d’autres administrations.
Au Royaume-Uni, le choc est particulièrement ressenti parce que le NHS est une institution immensément populaire, une source de fierté, et un sujet ultrasensible du débat politique, en particulier dans la campagne des élections législatives prévues le 8 juin. Cette administration tentaculaire, soumise à l’austérité budgétaire, souffre de faiblesses, notamment celle de son gigantesque système informatique déjà visé par des attaques.
Dans un article publié le 10 mai par le prestigieux British Medical Journal, Krishna Chinthapalli, un neurologue exerçant dans un hôpital londonien écrivait : « Nous devons nous préparer. D’autres hôpitaux vont presque certainement être paralysés par des “rançongiciels” cette année. » En 2016, quatre établissements hospitaliers anglais avaient déjà été paralysés plusieurs jours par un logiciel de ce type.
Selon ce médecin, les hôpitaux constituent des « cibles idéales » pour les maîtres chanteurs car ils détiennent des données uniques et sont « plus enclins » que d’autres institutions à payer pour récupérer rapidement leurs données.
Krishna Chinthapalli rapporte qu’une attaque similaire a aussi visé un hôpital de Los Angeles en 2016. Une rançon de 3,4 millions de dollars avait été exigée. Selon des informations démenties par l’établissement, ce dernier a dû acquitter la somme de 17 000 dollars pour récupérer les données de ses patients.
Des logiciels prisés des réseaux criminels
Les rançongiciels ont connu un développement exponentiel ces trois dernières années. Ils sont généralement conçus par des groupes criminels, et touchent le plus souvent les PME, auxquelles ils extorquent des sommes variant entre quelques dizaines et quelques centaines d’euros par machine infectée – le paiement s’effectue en BitCoin, une monnaie virtuelle anonyme.
La plupart des victimes ne portent pas plainte. « Les entreprises pensent qu’en portant plainte, elles terniront leur image et ne récupéreront pas nécessairement leurs données. Elles pensent aussi que payer la rançon coûtera moins cher que de payer une entreprise pour nettoyer leurs réseaux informatiques et installer des protections plus solides », regrettait, en 2016, dans un entretien au Monde, le commissaire François-Xavier Masson, chef de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication.
L’ampleur et la rapidité de diffusion de ce nouveau rançongiciel ont cependant suscité une plus grande inquiétude dans les services de sécurité. Pour l’instant, rien ne permet de lier ce logiciel malveillant à un acteur étatique, et l’hypothèse d’un acte criminel classique, mené par des personnes ayant exploité les failles dévoilées par The Shadowbrokers, est la piste la plus logique.
Mais dans un contexte marqué par plusieurs piratages d’ampleur, dont la publication à la veille du deuxième tour de la présidentielle française de courriels piratés de la campagne d’Emmanuel Macron, les services de sécurité informatique des pays les plus touchés mènent l’enquête.
En France, des mesures de sécurité ont été prises, notamment pour protéger le réseau des hôpitaux militaires. Les services gouvernementaux restent prudents – il faudra du temps pour analyser le logiciel et sa diffusion, pour savoir s’il visait des organisations spécifiques, comme l’affirme Mme May, ou si sa prolifération était opportuniste. Et il en faudra encore plus pour espérer retrouver ses concepteurs.