Le fonctionnement de plusieurs entreprises et institutions, en Russie et en Ukraine, est perturbé, mardi 24 octobre en début de soirée, par ce qu’elles présentent comme des « attaques informatiques ».

L’agence de presse russe Interfax a averti sur Twitter que ses dépêches étaient inaccessibles en raison d’une attaque « sans précédent », d’après son directeur.

L’aéroport ukrainien d’Odessa, dans le sud du pays, s’est excusé sur son compte Facebook auprès des passagers pour l’attente supplémentaire occasionnée par une « attaque ». Le fonctionnement du métro de Kiev est lui aussi perturbé, a annoncé ce dernier sur son compte Twitter, expliquant qu’il n’était plus possible de payer ses tickets par carte bancaire. Peu alarmiste, la police ukrainienne spécialisée en sécurité informatique, citée par Reuters, a expliqué que l’attaque était de faible ampleur.

Le rançongiciel Bad Rabbit

Selon un chercheur au sein de l’entreprise de sécurité slovaque ESET, le métro de Kiev aurait été touché par un rançongiciel – un logiciel qui chiffre les données, paralysant l’ordinateur, avant d’offrir de les déchiffrer en échange d’une rançon. Ce rançongiciel, nommé Bad Rabbit ou Diskcoder. D, est issu selon ce chercheur de la même souche que Petya, le logiciel malveillant qui avait déferlé sur l’Europe et le monde depuis l’Ukraine, en juin.

Lire aussi : Les mystères de « Petya », faux rançongiciel mais vrai virus destructeur

En fin d’après-midi, toujours selon ce chercheur, le rançongiciel aurait fait des « centaines » de victimes, la majeure partie d’entre elles se situant en Ukraine et en Russie, auxquelles s’ajoutent quelques machines infectées en Turquie et en Bulgarie. « La plupart des victimes de l’attaque se trouvent en Russie. Nous observons aussi des attaques similaires en Ukraine, en Turquie, en Allemagne, mais leur nombre est nettement inférieur », a précisé l’entreprise russe de sécurité informatique Kaspersky, dans un communiqué.

Le logiciel se propage en utilisant une partie des méthodes de propagation de Petya, en l’occurrence un outil permettant de retrouver des mots de passe dans un ordinateur infecté, lui permettant de se propager dans un même réseau.

Comme dans le cas de nombre de rançongiciels, l’ordinateur, une fois infecté, affiche un écran indiquant à la victime l’adresse Internet où se rendre pour payer la rançon. Sur ce site, un compte à rebours indique le temps restant avant que le prix de la rançon n’augmente, actuellement 0,05 bitcoins (un peu plus de 240 euros).

Le site réclamant la rançon affiche un compte à rebours avant que le montant de la rançon n'augmente.

Le site réclamant la rançon affiche un compte à rebours avant que le montant de la rançon n'augmente. / Capture d'écran

Selon l’entreprise de cybersécurité russe Group-IB, c’est cette même version du rançongiciel qui a frappé les serveurs de l’agence de presse Interfax. Toujours selon cette entreprise, deux autres médias russes, de moindre taille, ont été touchés par ce rançongiciel.

On ignorait encore mardi en début de soirée si l’aéroport d’Odessa avait été victime de la même souche de programme malveillant. Comme d’ordinaire après les premières heures de propagation rapide d’un logiciel malveillant, les informations qui nous parviennent sont parcellaires et difficiles à vérifier.