Les entreprises sont appelées à mettre à jour leurs systèmes informatiques après la cyberattaque du vendredi 12 mai qui a touché 200 000 ordinateurs dans près de 150 pays, dont ceux de Renault.
L’usine Renault à Douai, l’une des plus importantes de la marque automobile, est toujours à l’arrêt ce lundi 15 mai. Les équipes informatiques poursuivent leurs travaux d’investigation et de maintenance sur les robots et ordinateurs déprogrammés, selon France Bleu Nord. Guillaume Poupard, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi), a annoncé au micro de France Inter que Renault n’était pas la seule entreprise française touchée par la vague de cyberattaques lancée vendredi 12 mai : « On travaille avec eux, on essaie vraiment de rétablir (leurs systèmes informatiques) au plus vite dans les cas les plus problématiques. »
Au total, ce sont 200 000 ordinateurs dans près de 150 pays qui ont été touchés, de la Russie au Mexique. En Espagne, l’opérateur téléphonique Telefonica a ainsi été contraint d’éteindre les ordinateurs de son siège à Madrid, a indiqué l’AFP, tandis qu’en Grande-Bretagne, le service de santé public NHS a indiqué que les hôpitaux ont été paralysés.
Les cibles : les systèmes d’exploitation en réseau n’ayant pas installé le correctif MS17-010
La cyberattaque a été menée par WannaCrypt, un logiciel de rançon (ransomware) exploitant une faille dans les systèmes Windows, à savoir l’exploit EternalBlue dérobé à la NSA et rendu public par le groupe ShadowBrokers en avril. Le programme, infiltré grâce à une pièce-jointe reçue par mail, installe un rançongiciel pour soutirer de l’argent à la victime et se propage via le réseau de l’ordinateur. « Sa particularité est de se diffuser via le réseau Windows, sans avoir besoin d’exécuter une quelconque action. Un PC contaminé peut donc en infecter un autre si ce dernier est présent sur le même réseau. Une fois le virus exécuté, celui-ci crypte les fichiers et demande une rançon (entre 250 et 300€ environ) si l’on souhaite récupérer ces derniers », détaille l’éditeur Trend Micro.
Des Kill Switch ont été déployés samedi pour endiguer l’attaque, sans résultat. « Les hackers réagissent vite et s’adaptent pour être plus efficace, dans le cas de WannaCrypt ils ont dès ce week-end fait évoluer leurs versions de codes afin de ne plus avoir de systèmes autobloquant, le Kill Switch », précise David Grout, directeur technique chez FireEye, une société spécialisée dans la lutte contre les cyberattaques. Le centre gouvernemental de veille, d’alerte et de réponse aux attaques informations rappelle que « les environnements vulnérables sont les systèmes d’exploitation Windows en réseau n’ayant pas installé le correctif MS17-010 proposé par Microsoft en mars dernier. » Le président et directeur juridique de Microsoft a réagi en dénonçant l’attitude de la NSA, consciente de la faille.
Guillaume Poupard a souligné sur les ondes un risque de répliques dans les jours ou les semaines à venir. L’Anssi appelle les entreprises à mettre à jour leurs systèmes informatiques et à effectuer des sauvegardes régulières des données sensibles. Lundi 15 mai, de nombreuses sociétés spécialistes de la cybersécurité ont réagi à cette attaque en insistant sur son caractère exceptionnelle à cette échelle. « Pure coïncidence : Donald Trump signait au moment même où ce malware se répandait, une ordonnance désignant les vulnérabilités connues mais encore incontrôlées comme la plus grande menace de cybersécurité pesant sur les ministères et organismes gouvernementaux », fait remarquer Christophe Badot, directeur général France, Luxembourg et Suisse romande de l’éditeur de logiciels Varonis, dans un communiqué.
De plus en plus de médias nationaux tirent la sonnette d’alarme sur les enjeux de la cybersécurité. Une précédente attaque s’est déroulée fin octobre : le service DynDNS a été perturbé, bloquant l’accès à plusieurs sites américains.
A lire également sur Alliancy :