Nouvelle cyberattaque mondiale
Le rançongiciel utilisé exploitait la même faille de sécurité que WannaCry
Une nouvelle vague de cyberattaques a paralysé les systèmes informatiques de plusieurs cibles importantes mardi, exigeant le paiement d’une rançon. Le logiciel malveillant a utilisé une faille de sécurité pour laquelle Windows avait déjà diffusé un correctif.
L’Ukraine et la Russie ont été les plus affectées par ces attaques, suivies par la Pologne et l’Italie en moindre proportion. Le colosse du transport maritime Maersk a dû avouer des pannes informatiques, après que le même « rançongiciel» a fait passer le géant pétrolier russe Rosneft sur un serveur de secours. La centrale nucléaire ukrainienne de Tchernobyl, tristement célèbre pour la catastrophe de 1986, a été forcée de revenir à des mesures manuelles du niveau de radioactivité.
Moins dangereuses, des coupures de courant ont plongé dans le noir le propriétaire des biscuits Lu et Oreo et contraint des salariés allemands de Nivea à interrompre leur journée.
Le laboratoire pharmaceutique Merck est devenu la première victime connue aux ÉtatsUnis, son système informatique ayant été « compromis ». Une compagnie de gestion d’hôpitaux et de maisons de soins en Pennsylvanie a aussi rapporté avoir été atteinte par cette attaque.
Le mode opératoire de ce logiciel est le même que celui de la cyberattaque d’envergure de mai dernier, WannaCry, selon les informations préliminaires. Le rançongiciel a été nommé par certains Petya/NotPetya, en référence à une infection précédente, une version modifiée d’un ancien virus.
Dans ce genre de cyberattaque, les pirates informatiques verrouillent les fichiers des ordinateurs infectés par leur virus; un message apparaît généralement sur l’écran obscurci pour exiger le paiement d’une rançon en monnaie bitcoin, un peu plus de 400dollars canadiens dans ce cas-ci. Cette monnaie virtuelle préserve l’anonymat de ses propriétaires, ce qui rend leur localisation difficile.
En mai dernier, WannaCry avait fait plus de 200 000 victimes dans 150 pays, dont un hôpital dans la région de Toronto, le site du gouvernement de Saskatchewan et l’Université de Montréal. Plusieurs compagnies de sécurité informatique, telles que Symantec et McAfee, ont confirmé que le nouveau logiciel malveillant
utilise au moins un des outils de cette attaque précédente.
Le chercheur montréalais en cybersécurité Olivier Bilodeau a également appuyé cette hypothèse. Difficile toutefois de connaître son mode de propagation: «À ce stade-ci, ce n’est pas clair si le virus se propage automatiquement sur Internet.»
Il pourrait également circuler sur des réseaux créés localement entre plusieurs ordinateurs d’un même bureau, par exemple, ou sur des réseaux entre entreprises. Le groupe de chercheurs ESET affirme avoir déterminé le point de départ de cette épidémie, un logiciel de comptabilité populaire en Ukraine, corrompu pour inclure le virus.
Reconstitution
Plusieurs banques et entreprises ukrainiennes ont en effet lancé l’alerte tôt mardi. Un officiel ukrainien a publié une photo de son écran d’ordinateur noirci avec les mots « Tout le réseau est en panne ». Le premier ministre a ensuite affirmé en journée que cette cyberattaque était « sans précédent », tout en précisant que les systèmes essentiels n’étaient pas infectés.
Le compte Twitter officiel de l’Ukraine écrivait quant à lui : «Certaines de nos agences gouvernementales et des firmes privées ont été touchées par un virus. Pas besoin de paniquer, nous mettons tout en oeuvre pour faire face à ce problème. » Une animation de dessins (GIF) accompagnait ce message: un chien assis parmi les flammes restant calme, en contradiction avec le message du gouvernement.
Il faut remonter au 14 avril dernier pour trouver l’une des sources de Petya/NotPetya. Le groupe de pirates The Shadow Brokers avait publié une partie de l’arsenal virtuel de la puissante National Security Agency (NSA), l’agence américaine de sécurité.
La NSA a développé un outil de piratage à des fins de surveillance appelé EternalBlue. Cet élément de programme utilisait une faille de sécurité dans les systèmes d’exploitation de Windows.
Une fois rendus publics, cette faille et cet outil de la NSA ont servi à développer WannaCry. Windows avait alors publié un correctif pour résoudre cette faille.
Mais les correctifs rendus disponibles par Windows, les «patchs» dans le jargon des informaticiens, ne sont pas nécessairement installés par tout le monde, indique M. Bilodeau. Surtout, ils ne sont pas toujours compatibles avec des logiciels utilisés par des compagnies ou des agences gouvernementales.
Cette fois, le rançongiciel se démarquerait en outre par « sa capacité à exploiter d’autres failles que EternalBlue. Des vulnérabilités plus classiques des environnements Windows qui sont dures à corriger, comme la réutilisation de comptes », a indiqué Olivier Bilodeau, chef de la recherche pour la compagnie GoSecure. Ces attaques seraient aussi plus performantes puisqu’ au tom a tisées.
Le géant de la sécurité informatique Kaspersky évalue à 2000 le nombre d’utilisateurs touchés pour l’instant. Les fabricants d’antivi-
rus et autres protections informatiques dissuadent de payer la rançon demandée, avertissant que le paiement ne constitue en rien une garantie de retrouver ses fichiers et encourage les «hackers» à poursuivre ce genre de stratagème.
La chasse aux pirates s’est mise en branle très tôt mardi. Le message de rançon à l’écran indiquait une adresse courriel où faire parvenir le paiement en bitcoin, cette monnaie virtuelle. Le fournisseur allemand de ce courriel a ainsi rapidement saisi cette adresse pour empêcher les ravisseurs d’obtenir paiement.
L’adresse bitcoin associée indiquait quant à elle 32 transactions durant la journée de mardi, pour un total d’à peine 11 000 dollars canadiens.
Une accélération des attaques?
Les experts en sécurité informatique nuancent cependant la gravité de cette cyberattaque. Le niveau de difficulté technique des événements de mardi n’était pas élevé: « Ce ne sont pas des criminels sophistiqués, ils ont analysé et utilisé les mêmes vulnérabilités», tranche M. Bilodeau.
Sans vouloir se prononcer sur une tendance,
Jean-Marc Robert constate tout de même que les pirates cherchent aujourd’hui à tirer le maximum de profits de leur criminalité. Surtout, il met en garde contre une forme de « monoculture » en informatique: « C’est comme l’agrile du frêne, on a une couverture très importante de cet arbre. Quand ils deviennent malades, ça a beaucoup d’impact sur l’île de Montréal. Nous sommes tous hyperconnectés, et nos systèmes ne présentent malgré tout pas beaucoup de variantes. Windows a une large part du parc informatique et une attaque sur Windows a donc beaucoup d’impacts. »
Le Centre de la sécurité des télécommunications (CST) du Canada a indiqué par communiqué que «rien n’indique que les systèmes du gouvernement du Canada aient été négativement touchés par ces attaques et que la moindre information, qu’elle soit personnelle ou autre, ait été compromise ». Lors de l’attaque WannaCry, le CST avait indiqué être en mesure d’instaurer un mécanisme apte à protéger les systèmes et les réseaux essentiels du gouvernement canadien.