Plus de 200 000 ordinateurs dans près de 150 pays ont été infectés par un virus informatique qui se propage depuis le vendredi 12 mai. Le logiciel malveillant verrouille et crypte les fichiers des utilisateurs et les force à payer une rançon pour les récupérer.

Renault, les hôpitaux britanniques, Telefonica, FedEx, le ministère de l’Intérieur russe … Tous figurent parmi les victimes de la récente cyberattaque qui a touché des milliers d’ordinateurs à travers le monde. Selon Europol, l’office européen de police, il s’agit d’une attaque d’un niveau « sans précédent » qui nécessitera une « enquête internationale complexe pour identifier les coupables ». Le parquet de Paris a également ouvert une enquête pour flagrance, pour « accès et maintien frauduleux dans des systèmes de traitement automatisé de données », « entraves au fonctionnement » de ces systèmes et « extorsions et tentatives d'extorsions ». Les pirates du web n’ont cependant toujours pas été identifiés et risquent de ne jamais l’être.

 

Une faille de Windows exploitée par un « rançongiciel »

Les pirates ont exploité une faille dans le système Windows pour contaminer les ordinateurs du monde entier. Selon la société de sécurité informatique russe Kaspersky, un groupe de pirates informatiques, les « Shadow Brokers » avaient dévoilé en avril dernier une série d’outils d’espionnage, dont un logiciel exploitant les failles présentes notamment dans les systèmes d’exploitation Windows XP, Windows 7 et 8, utilisés par l’Agence nationale de la sécurité américaine (NSA). Le lanceur d’alerte Edward Snowden n’a pas manqué de donner son point de vue concernant cette affaire sur Twitter : « si la NSA avait divulgué en privé la faille quand ils l’ont « trouvée », et non quand ils l’ont perdue, tout cela ne serait peut-être pas arrivé ».

L’entreprise de sécurité informatique, Forcepoint Security Labs, évoque « une campagne majeure de diffusion d’emails infectés » avec près de cinq millions de courriels envoyés chaque heure répandant ainsi le logiciel hostile. Wcryn, Wannacry, WanaCrypt0r, WannaCrypt ou encore WanaDecrypt0r sont autant de noms pour designer ce virus de type « rançongiciel » (« ransomware » en anglais). Ces « rançongiciels » sont des programmes qui verrouillent les fichiers sur les ordinateurs infectés. Pour les débloquer et les récupérer, l’utilisateur doit payer une certaine somme d’argent sous forme de bitcoins, une monnaie virtuelle. S’il ne le fait pas, ses fichiers seront effacés. Les autorités américaines, anglaises et françaises ont conseillé aux particuliers, entreprises et organismes touchés de ne pas payer les pirates, n’ayant aucune garantie de récupérer les informations piratées. Lance Cottrell, directeur scientifique du groupe technologique américain Ntrepid, précise que « ce logiciel de rançon peut se répandre sans que qui que ce soit ouvre un e-mail ou clique sur un lien. Contrairement à des virus normaux, ce virus se répand directement d'ordinateur à ordinateur sur des serveurs locaux, plutôt que par e-mail ».

Le virus s’attaque à d’anciennes versions de Windows qui ne sont plus techniquement supportées par Microsoft. Mais au vu de l’attaque, l’entreprise a réactivé une mise à jour pour aider les utilisateurs touchés par le logiciel malveillant. À noter que le dernier système d’exploitation Windows 10 n’est pas visé par l’attaque.

 

 

Un jeune britannique héros malgré lui

Un chercheur en cybersécurité britannique de 22 ans est à l’origine du ralentissement de la propagation du virus. Marcus Hutchins, plus connu sous le pseudonyme de « MalwareTech », a expliqué sur son blog s’être réveillé le vendredi 12 mai au matin et avoir directement jeté un coup d’œil sur la plateforme où sont recensées les cyberattaques pour le Royaume-Uni. Mais ce n’est qu’en début d’après-midi que le jeune homme constate que le site était saturé de centaines de plaintes provenant des services de santé britanniques : « J’ai immédiatement compris que quelque chose d’énorme était en cours ». Il appelle alors un ami chercheur au pseudonyme « Kafeine » afin d’étudier ensemble le code du logiciel malveillant. « MalwareTech » remarque rapidement que le logiciel en question était relié à un nom de domaine non attribué qu’il achète pour 12 euros. Cette manœuvre permet instantanément d’enrayer la propagation du virus. Le jeune déclarera par la suite sur twitter : « J’avoue que je ne savais pas que l’enregistrement du domaine stopperait le logiciel malveillant jusqu’à ce que je l’enregistre. C’était donc au départ accidentel ». Des déclarations qui lui vaudront par la suite la dénomination de « héros par accident » de la part de la presse britannique.

 « MalwareTech » prévient cependant que de nouvelles attaques sont à craindre. Les pirates risquent de revenir en changeant le code et il sera difficile cette fois-ci de les arrêter. Il encourage également les internautes à installer rapidement le correctif pour les systèmes d’exploitation Windows XP publié par Microsoft.

Margaux Savarit-Cornali

Newsletter Flash

Pour recevoir la newsletter du Magazine Décideurs, merci de renseigner votre mail

{emailcloak=off}

GUIDE ET CLASSEMENTS

> Guide 2023