Cyberattaque : « On a plutôt l’impression que c’est crapuleux, plus qu’organisé par un Etat »
Cyberattaque : « On a plutôt l’impression que c’est crapuleux, plus qu’organisé par un Etat »
Propos recueillis par Martin Untersinger
Le directeur de l’unité de la police chargée de l’enquête sur le « rançongiciel » WannaCry, François-Xavier Masson, estime que d’autres entreprises françaises pourraient être touchées.
Ces derniers jours, WannaCry s’est répandu comme une traînée de poudre sur toute la planète. Ce « rançongiciel » – un logiciel qui rend les données d’un ordinateur inaccessibles et ne les libère que contre de l’argent – n’a pas épargné la France, mettant notamment à l’arrêt plusieurs usines du constructeur Renault. Le parquet de Paris a ouvert une enquête confiée à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), l’unité d’élite de la police nationale en matière de cybercriminalité. Son directeur, François-Xavier Masson, a répondu aux questions du Monde.
Combien de victimes WannaCry a-t-il fait en France ?
François-Xavier Masson : Nous ne le savons toujours pas car peu de victimes ont porté plainte. Nous sommes également toujours en attente de l’exploitation des différentes données qui nous parviennent par différents canaux, dont Europol qui a mis en place dès ce week-end [13 et 14 mai] une cellule de crise. Elle coordonne l’échange d’informations afin que l’on puisse avancer plus rapidement.
Comment expliquez-vous ce nombre réduit de plaintes ?
Ce n’est pas anormal : il y a ceux qui vont vouloir régler ça tout seul, ceux qui vont payer… Mais on va finir au fur et à mesure par savoir et on s’attend à découvrir que d’autres entreprises ont été touchées. Il y a des recherches avec Europol qui sont lancées pour identifier d’autres victimes.
Est-ce que vous avez déjà des pistes ?
C’est encore trop tôt pour parler de pistes. Les premiers actes d’enquête sont réalisés à partir des éléments qui ont été récoltés suite aux premières plaintes, notamment celle de Renault. Nos enquêteurs spécialisés analysent le rançongiciel, de façon à comprendre comment il fonctionne et à trouver d’éventuelles traces laissées par leurs auteurs. C’est de l’analyse technique, comme lorsque vous faites des constatations sur une scène de crime.
Ensuite, on va mettre en commun ce que les différentes unités dans d’autres pays auront récolté. Cet échange permettra d’ouvrir des pistes. Depuis samedi, toutes les forces vives de l’OCLCTIC sont mobilisées, et notamment un groupe d’enquête spécialement dédié à WannaCry. L’Office s’est mis en ordre de bataille pour coordonner les investigations au niveau national, sous l’égide du parquet.
Pensez-vous parvenir aux auteurs du « rançongiciel » ?
On espère faire des progrès rapides et avancer vers l’identification des auteurs. On a déjà contribué, avec une réaction extrêmement rapide pendant le week-end, à limiter l’impact malgré l’ampleur de l’infection. On n’est pas à l’abri d’une réplique, on a vraiment connu le pic ce week-end, on est sur une phase descendante. Mais il faut rester prudent. J’ai l’impression que sur le paiement des rançons, les dégâts sont limités [environ 300 personnes ont payé pour faire déchiffrer leurs données], vu l’ampleur que ça a pris.
On pense aussi que ce n’est pas un gros succès pour les cybercriminels : l’ensemble de la communauté internationale s’est intéressé à ce rançongiciel, c’est de la publicité dont un criminel se serait bien passé.
WannaCry vous semble-t-il provenir d’un Etat ou d’une organisation criminelle ?
C’est un peu tôt [pour le dire], l’analyse n’est pas terminée. On a plutôt l’impression que c’est crapuleux, d’une ampleur inédite, plus qu’organisé par un Etat. Sauf si cela cache autre chose, ce que l’on ne peut pas exclure. Il faut être prudent : l’attribution est extrêmement compliquée et dans ce domaine, c’est facile de se faire passer pour un autre.
Comptez-vous remonter la piste des adresses Bitcoin – que les auteurs du rançongiciel ont laissé dans le code du logiciel ?
C’est un réflexe que tout le monde a eu et c’est un axe d’enquête important.
Est-ce qu’il faut craindre pour nos institutions, comme les hôpitaux par exemple ?
Nous sommes vigilants. Je pense que si des hôpitaux avaient été touchés, si des infrastructures sensibles avaient été touchées, cela se serait su, car c’est compliqué à cacher. Mais je pense qu’on n’a pas encore une bonne image de la situation, notamment concernant les victimes. Quand elles se seront manifestées, on aura une meilleure image de l’ampleur des dégâts en France.
Quels conseils donneriez-vous aux utilisateurs pour se protéger ?
Il y a plusieurs conseils, de prévention d’abord : faire des sauvegardes régulières sur des supports non connectés, des mises à jour régulières des logiciels et des antivirus, une navigation prudente, on ne clique pas sur des liens de mails dont on ignore la provenance. Il faut répéter ces conseils basiques. Dans ce domaine, la prévention est la meilleure arme.
Et une fois qu’on est infecté, que faire ?
Il faut isoler l’ordinateur, ne pas payer, d’abord parce que vous entretenez le système, mais aussi parce que vous n’êtes pas sûr de retrouver vos données. S’il n’y a pas de sauvegarde des données, le conseil que l’on donne, c’est de conserver les données chiffrées sur un support externe, au cas où la clé de déchiffrement soit publiée un jour. Si c’est un rançongiciel plus ancien, certains sites comme celui d’Europol, No More Ransom, permettent d’avoir des solutions techniques.