WannaCry : établir les responsabilités
WannaCry : établir les responsabilités
Editorial. Des milliers d’ordinateurs ont été infectés par le rançongiciel depuis le 12 mai. Les répercussions sont telles que la recherche de responsables s’impose.
Une capture de l’écran qui s’affiche sur les ordinateurs infectés par le virus WannaCry. | Handout/REUTERS
Editorial du « Monde ». Il y a une certitude sur la cyberattaque qui a infecté, vendredi 12 et samedi 13 mai, des dizaines de milliers d’ordinateurs dans le monde : elle est d’origine criminelle. Elle ne résulte pas d’une erreur de manipulation. Elle a été lancée intentionnellement. Par qui ? On ne sait pas encore. Mais, d’ores et déjà, une chaîne de responsabilités peut être pointée en amont. Et, à chaque étape de cette chaîne, on est en droit d’attendre des réponses, tant une attaque de ce genre peut être dévastatrice.
Le programme qui a frappé quelque 300 000 ordinateurs en quelques jours – entreprises, grandes administrations, industrie et services confondus, en Europe comme en Asie – est un logiciel malveillant de la famille dite des « logiciels de rançon ». Il rend le contenu d’un ordinateur inaccessible à son propriétaire. Il sollicite une rançon pour que l’ordinateur puisse être déverrouillé. Ce type de logiciel est assez courant, mais celui de la cyberattaque des 12 et 13 mai, WannaCry, a une caractéristique : une invraisemblable vitesse de diffusion.
Microsoft connaissait la faille
Le premier chaînon qui facilite ce genre d’attaque est à chercher du côté des éditeurs de logiciels. Microsoft connaissait la faille utilisée par WannaCry. La firme l’a corrigée en mars pour ses systèmes les plus récents. On ne la retrouve pas moins dans un grand nombre de versions laissées dans des systèmes d’exploitation plus anciens – et donc éminemment vulnérables – par Microsoft et d’autres éditeurs de logiciels.
La deuxième étape dans la chaîne des responsabilités concerne les entreprises et les administrations elles-mêmes. Ce qui est ici en question, c’est une simple attitude de précaution, qui s’impose d’autant plus dans le secteur de la santé – hôpitaux, cliniques – ou des transports collectifs que des vies peuvent être mises en danger. Prudence élémentaire : il faudrait réduire les ordinateurs fonctionnant encore sur Windows XP et mis en service il y a plus de quinze ans. Tout aussi incompréhensible est l’absence de mise à jour systématique de nombre d’ordinateurs d’entreprises ou de grandes administrations.
L’Etat forme un troisième chaînon de responsabilité. La mise en pratique d’un principe de précaution informatique coûte cher. Mettre à jour et sécuriser des ordinateurs a un prix. Il faut le savoir et l’accepter. Les enjeux sont énormes : la numérisation accélérée de nos vies impose une extension des obligations de sécurité informatique.
Les réflexes indispensables des utilisateurs
Il peut arriver qu’un Etat soit plus directement concerné. La faille utilisée par les pirates de WannaCry pour diffuser leur logiciel malveillant à grande échelle a initialement été découverte par la NSA (une des agences de sécurité américaines). Pendant des années, la NSA s’en est servie sans avertir Microsoft. C’était prendre le risque de voir cette vulnérabilité utilisée par des acteurs mal intentionnés ou mise en place publique : dans les deux cas, on joue avec le feu.
Enfin, restent les utilisateurs – nous, face à nos écrans. Une part importante de la cybersécurité nous revient. Installer, sans regimber, des mises à jour ; choisir un bon mot de passe ; être prudent vis-à-vis de ce que l’on reçoit par courrier électronique ; faire des sauvegardes régulières : autant de réflexes devenus indispensables. Il en va de la sécurité informatique comme des précautions en matière de santé, publique et privée. Ce sont des exigences qui, en 2017, font partie de la vie.