Revue de presse sur la sécurité de l'informatique et des systèmes d'information

Une cyberattaque massive pourrait coûter plus de 50 milliards de dollars

LE FIGARO.fr | 17.07.2017 | Par Danièle Guinot

http://www.lefigaro.fr/societes/2017/07/17/20005-20170717ARTFIG00161-une-cyberattaque-massive-pourrait-couter-plus-de-50-milliards-de-dollars.php

Une cyberattaque massive pourrait coûter plus de 50 milliards de dollars

Une cyberattaque mondiale majeure pourrait provoquer jusqu'à 53 milliards de dollars de pertes économiques, selon une étude du Lloyd's. Soit autant qu'une catastrophe naturelle comme l'ouragan Sandy en 2012.

Depuis le printemps, les cyberattaques touchant simultanément plusieurs milliers d'ordinateurs à travers le monde se multiplient. Après l'attaque en mai du logiciel de racket WannaCry qui a contaminé plus de 200 000 ordinateurs dans 150 pays, en juin, c'est le logciel Petya, qui a touché plusieurs dizaines de grandes entreprises. Les dégâts se chiffrent déjà en centaines de millions d'euros.

D'autres attaques de ce genre vont certainement se produire à nouveau. Et elles pourraient coûter très cher. Une cyberattaque mondiale à grande échelle pourrait provoquer jusqu'à 53 milliards de dollars (46 milliards d'euros) de pertes économiques, selon une étude publiée lundi par le Lloyd's, le marché d'assurance spécialisé, et le cabinet Cyence, Soit l'équivalent d'une catastrophe naturelle comme l'ouragan Sandy en 2012, deuxième cyclone tropical le plus coûteux de l'histoire, a engendré des pertes économiques comprises entre 50 et 70 milliards de dollars.

Le piratage d'un fournisseur de services de cloud entraînant une interruption des services fournis aux clients coûterait entre 4,6 milliards et 53 milliards de dollars.

Pour mesurer l'impact économique de ce type d'attaques, la société californienne Cyence, leader de la modélisation des analyses du cyber-risque, a retenu deux scenarii de cyberattaques. Le premier scenario envisage le piratage d'un fournisseur de services de cloud (informatique dématérialisée), entraînant une interruption des services fournis aux clients. Dans ce cas, les pertes économiques moyennes s'échelonneraient entre 4,6 milliards pour un événement important et 53 milliards de dollars pour un événement majeur. « Il s'agit là d'une moyenne. Du fait de la difficulté à quantifier précisément les pertes informatiques, ce chiffre pourrait atteindre 121 milliards de dollars ou se limiter à 15 milliards », précisent toutefois le Lloyd's et Cyence.

Les entreprises peu couvertes contre le cyber-risque

Dans un deuxième scénario qui prend cette fois pour hypothèse des attaques ciblant le système d'exploitation d'ordinateurs utilisés par un grand nombre d'entreprises dans le monde, les pertes s'échelonneraient entre 9,7 milliards de dollars pour un événement important et 28,7 milliards de dollars pour événement majeur. « Tout comme certaines des pires catastrophes naturelles, les incidents cyber sont susceptibles d'avoir de graves répercussions sur les entreprises et les économies », s'alarme Inga Beale, patron du Lloyd's.

D'autant qu'en dépit de l'essor de la demande en cyberassurance, les montants couverts restent encore limités, le déficit d'assurance pouvant atteindre jusqu'à 45 milliards de dollars dans le premier scénario et 26 milliards dans le deuxième, détaille l'étude. Or, «on estime qu'en 2016, les cyberattaques ont coûté quelque 450 milliards de dollars aux entreprises, à l'échelle mondiale», détaille l'étude. En France, en 2016, le chiffre d'affaires des cyberassurances était évalué à seulement 50 millions de dollars par la Fédération française de l'assurance (FFA). Un montant sans commune mesure avec les 3 milliards de dollars générés aux États-Unis !

Ransomware : nouvelle attaque informatique d’ampleur visant les entreprises en Europe

ZDNet.fr | 27.06.2017 | Par Louis Adam

http://www.zdnet.fr/actualites/ransomware-nouvelle-attaque-informatique-d-ampleur-visant-les-entreprises-en-europe-maj-39854266.htm

Ransomware : nouvelle attaque informatique d’ampleur visant les entreprises en Europe

Sécurité : Une campagne de ransomware importante est en cours ce mardi dans plusieurs entreprises européennes, particulièrement en Ukraine. Le géant du fret Maersk ou encore Saint Gobain indiquent être perturbés par l’attaque, qui semble proche de l’épidémie WannaCry.

Mise à jour à 22h30 :

Kaspersky est revenu sur ses précédentes analyses, qui tendaient à confirmer que la charge utile était constituée d’un clone de Petya. Mais que celui ci est un nouveau ransomware jusqu’alors inconnu, que la société russe de sécurité a choisi de nommer NotPetya. (Ou Petwrap. La nomenclature est encore particulièrement mouvante.)

Les capacités de ce ransomware sont encore floues, mais celles ci pourraient aller au-delà du simple chiffrement des fichiers et disposer au passage de fonctions de vol d’identifiants, comme le rapporte The Register.

Petya, or NotPetya? That is the question.

La société de cybersécurité confirme également que l’attaque est complexe et se base sur plusieurs vecteurs d’attaque. Kaspersky confirme ainsi l’utilisation d’EternalBlue, la faille de la NSA rendue publique par le groupe des shadow brokers, par NotPetya, qui l’utilise pour se propager au sein des réseaux locaux via le protocole SMB.

Plusieurs chercheurs, dont l’équipe Talos de chez Cisco, confirment que le malware a également recours à l’API WMI pour se déplacer au sein des réseaux, ainsi qu’un autre vecteur exploitant probablement PsExec, un utilitaire Windows permettant d’exécuter des lignes de commande sur une machine distante.

Il est inutile de tenter de négocier avec les opérateurs du malware en les contactant par l’adresse mail affichée par celui-ci. La société Posteo, qui fournissait l’adresse, a communiqué à 18h30 pour expliquer que le compte lié à cette adresse mail avait été fermé dès midi et que les titulaires n’y avaient donc plus accès. Compte tenu du fait que ce ransomware nécessite d’envoyer un mail à cette adresse afin d’obtenir la clef de déchiffrement après avoir payé la rançon, cela pourrait signifier qu’il n’est maintenant plus possible de déchiffrer les données.

En France, le parquet de Paris a annoncé avoir ouvert une enquête, suite aux infections subies par Auchan, la SNCF et Saint Gobain. L’enquête sera menée par l’OCLCTIC. En parallèle, Europol a également annoncé avoir ouvert une enquête sur l’attaque. Le secrétaire d’état au numérique Mounir Mahjoubi a évoqué une attaque « sans précédent », tout en rappelant qu’il était encore « trop tôt » pour en tirer des conclusions.

Mise à jour à 18h25 :

le Cert-FR a publié une alerte concernant cette campagne de ransomware. Le vecteur utilisé reste inconnu à cette heure, mais le Cert confirme que le ransomware Petya est bien celui utilisé. L'organisme recommande l'installation des mises à jour de sécurité Windows, notamment le correctif MS17-010 ainsi que de limiter l'exposition de SMB. En cas de machine infectée, le Cert recommande de déconnecter immédiatement la machine du réseau afin de limiter la propagation du malware, et de sauvegarder les fichiers les plus importants sur des supports déconnectés du réseau.

Article initial

À peine sorti de WannaCry, les administrateurs systèmes ont encore du souci à se faire. Une attaque informatique massive s’est déclarée en Europe au début de l’après-midi, touchant dans un premier temps l’Ukraine avant de se répandre à plusieurs pays européens dont la France.

La société Kaspersky informe ainsi d’attaques ayant été répertoriées en France, en Russie, en Ukraine et en Espagne. L’ampleur exacte de l’attaque reste inconnue, mais la vitesse de propagation du malwares laisse penser à une méthode de propagation similaire à celle de WannaCry. Il s'agit bien d'un ransomware qui exige 300 dollars pour libérer les fichiers du PC infecté.

La société de fret maritime Maersk a ainsi confirmé sur Twitter que nombre de ses systèmes internes étaient perturbés par une attaque informatique. En France, Saint Gobain indique avoir isolé son SI pour éviter le pire. Son site Web est inaccessible. «Saint-Gobain a fait l'objet d'une cyberattaque. Par mesure de sécurité, afin de protéger nos données nous avons isolé nos systèmes informatiques. C'est en cours de résolution», a déclaré une porte-parole du groupe français de matériaux à l'AFP, sans être en mesure de donner davantage d'information dans l'immédiat.

Les passagers du métro de Kiev ne pouvaient pas payer par carte bancaire, les panneaux d'affichage de l'aéroport de Kiev ne fonctionnaient plus et des banques ukrainiennes devaient mettre en pause certains des services proposés à leurs clients.

En parallèle, la société pétrolière russe Rosneft a également été touchée par l’attaque, qui s’est propagée à plusieurs entreprises ukrainiennes et espagnoles comme le rapporte Motherboard. Outre des entreprises, le premier ministre ukrainien a lui aussi été personnellement touché par l’attaque, qu’il a qualifiée de « sans précédent. »

Un sérieux goût de réchauffé

Il est pour l’instant encore un peu tôt pour tirer des conclusions définitives sur cette nouvelle campagne de malwares, mais les premières analyses d’experts montrent que celle-ci présente de troublantes similitudes avec le cas WannaCry. La vitesse de propagation de la menace, qui s’est soudainement répandu à partir du début d’après-midi, laisse penser que celui-ci n’est pas uniquement diffusé par un phishing traditionnel, mais bien par un ver, qui exploiterait donc une faille informatique au sein de Windows. Plusieurs témoignages d’employés de sociétés affectés confirment que des machines fonctionnant sous Windows 8 ont été infectées.

La charge utile n’est en revanche pas WannaCrypt, mais s’apparente plutôt à une version modifiée du ransomware Petya, un malwares qui avait fait des siennes en début d’année 2016. Celui-ci infecte la machine, puis simule une vérification du disque dur Windows afin de pouvoir chiffrer complètement les données de la cible ainsi que le MBR, la partition du disque utilisée pour initier le lancement du système d’exploitation. De fait, la machine est rendue complètement inutilisable : l’utilisateur ne peut pas accéder aux fichiers ni à son système d’exploitation.

Le ransomware demande « 300 dollars en bitcoin » afin de déchiffrer les données de l’utilisateur, qui doivent être envoyés à une adresse bitcoin précisée par le ransomware. Celle-ci, apparemment la même pour de nombreux cas, confirme que l’attaque aurait débuté en début d’après-midi et une dizaine de paiements ont déjà été enregistrés en direction de l’adresse.

Pour l’instant, de nombreux éléments inconnus restent à éclaircir sur cette nouvelle campagne. On s’interroge ainsi sur le mode de propagation de ce nouveau malwares : Avira et Symantec estiment que celui-ci utilise ETERNALBLUE, la faille utilisée par la campagne Wannacry, mais d’autres vecteurs de propagation sont évoqués, tels que l’exploitation d’une faille au sein de WMIC, une API Windows utilisée pour le contrôle à distance de certains aspects de l’OS.

Pour l’instant, ces différentes théories restent à confirmer et doivent donc être prises avec précaution. L’ampleur exacte de l’attaque reste également inconnue, mais les nombreux témoignages sur les réseaux sociaux montrent que celle-ci n’est pas négligeable et touche de nombreuses entreprises appartenant à différents secteurs.

Intrusion, Hacking et Pare-feu. Vade Secure bloque 300 000 mails véhiculant le trojan Trickbot

LE MONDE INFORMATIQUE | 16.06.2017 | Par Véronique Arène

http://www.lemondeinformatique.fr/actualites/lire-vade-secure-bloque-300-000-mails-vehiculant-le-trojan-trickbot-68553.html

Intrusion, Hacking et Pare-feu. Vade Secure bloque 300 000 mails véhiculant le trojan Trickbot

Spécialisé dans les solutions de protection d'emails, l'éditeur Vade Secure a alerté sur la propagation massive de Trickbot, un trojan bancaire cousin de Dridex dans des centaines de milliers de boîtes mails d'entreprises françaises.

Une nouvelle vague d’attaque d’emails véhiculant un trojan bancaire s’est répandue comme une trainée de poudre. C’est l’éditeur Vade Secure, spécialisé dans la sécurité des emails qui a lancé l'alerte vendredi dernier en révélant la propagation de Trickbot (un cousin de Dridex) un ransomware polymorphique dans des centaines de milliers de boîtes de réception de ses clients. Les vagues détectées ont été très volumineuses et sur de très courtes durées, environ 1h en moyenne. En seulement deux heures, Vade Secure a bloqué 300 000 emails sur les 400 000 messageries que sa solution protège. Elles appartiennent pour la quasi-totalité à des entreprises françaises.

Dans un communiqué, Régis Bénard, consultant technique chez Vade Secure a précisé : « A l’échelle de tous nos clients corporate, le volume est très important. Cette vague est diffusée par le botnet Necurs, bien connu depuis le malware Dridex et qui a une force de frappe extraordinaire. En termes de volumétrie, nous n’avions pas vu une telle vague depuis l’an dernier à la même époque, où le volume cumulé entre plusieurs vagues sur une journée avait pu atteindre plus d’1 million d’emails incluant le célèbre ransomware Locky ».

-Un malware polymorphique

Le spécialiste a également souligné que pour leur première vague d’attaque, les cybercriminels ont de plus usurpé une adresse légitime d’une personne localisée en France afin de passer à travers les outils de détection basés sur des signatures. L’email inclut ensuite plus classiquement une pièce jointe zip, incluant un fichier PDF avec un XLMS embarqué qui télécharge le trojan bancaire trickbot en charge utile. « Le trojan intègre des fonctionnalités que nous observons régulièrement désormais c’est à dire qu’il est polymorphique et donc capable de réaliser plusieurs actions sur demande », signale également Régis Bénard. « A titre d’exemple, il se met en veille s'il détecte la mise en route d'une analyse », a t-il ajouté.

Microsoft a informé ses clients de cette attaque le 14 juin via son fil Twitter.

Il détourne 195 000 euros en piratant des box SFR

LE MONDE BLOG SOSCONSO | 16.06.2017 | Par Rafaele Rivais

http://sosconso.blog.lemonde.fr/2017/06/16/il-detourne-195-000-euros-en-piratant-des-box-sfr/#more-20227

Il détourne 195 000 euros en piratant des box SFR

Le 19 janvier 2013, un client de SFR dépose plainte pour l’utilisation à son insu de sa box : 60 euros ont été dépensés pour acheter des crédits auprès de la société de jeux en ligne Dream Century. Le 22 février 2013, le responsable du pôle investigations de SFR dépose lui aussi une plainte, mais pour escroquerie.

La société SFR a en effet constaté que depuis 2011, d’importants débits viennent grever les factures de certains clients. Ces débits servent à acheter de la monnaie virtuelle permettant de jouer en ligne sur, notamment, les sites de Dream Century ou Ludofactory. Les connexions aux sites de jeux en ligne se font exclusivement en Wifi, par le biais d’une cinquantaine de box SFR, dont les titulaires demeurent tous à Rennes (Ille-et-Vilaine).

L’enquête de la police permet de comprendre qu’un pirate s’est connecté par le Wifi à ces quelque cinquante box SFR présentant un faible niveau de sécurité, après avoir déchiffré la clé WEP censée les protéger. Il utilise leurs adresses IP pour se connecter aux sites de jeu.

A partir des éléments techniques que leur transmet SFR, Ludofactory et Dream Century relèvent les noms et les coordonnées des joueurs rennais dont les achats et les gains sont anormalement élevés. Il communique les identités de Christophe B. et de Julie H. qui vivent maritalement à Rennes.

50 box piratées

Christophe B. , sans emploi, est titulaire du RSA. Il a travaillé comme manager chez Quick à Rennes et comme directeur adjoint dans un hôtel Campanile, mais il a été licencié pour faute liée à ses absences. Julie H., plus jeune que son compagnon de neuf ans, est titulaire du RSA.

L’analyse des comptes bancaires du couple montre sur ceux de Julie H. des mouvements anormaux, compte tenu de ses revenus : elle a encaissé 47 000 euros de chèques et de virements provenant de Dream Century, Madwin, Cadovillage, Ludofactory et Pactole, entre octobre 2010 et mars 2013, sur trois comptes ouverts au Crédit mutuel et à la Banque postale.

A la demande des enquêteurs, SFR fournit une liste des transactions frauduleuses effectuées à partir des box piratées. Une comparaison est effectuée entre cette liste et le fichier des adresses IP utilisées pour accéder aux comptes Dream Century de Christophe B. et Julie H. Elle permet de confondre ces deux personnes.

1500 comptes débités

Le 14 mai 2013, alors que le préjudice subi par SFR s’élève à 194 000 euros, le couple est interpellé à son domicile et placé en garde à vue.

Christophe B., qui admet être « accro » aux jeux en ligne, reconnaît être l’auteur du piratage des box puis des transactions frauduleuses. Pour capter les connexions Wifi émises par les box SFR, il circulait en voiture dans les rues de Rennes, muni de son ordinateur portable. Il décryptait la clé WEP grâce au logiciel de piratage informatique Backtrack téléchargé sur Internet.

Il récupérait ensuite des identifiants et des mots de passe de clients SFR sur des forums, notamment ceux de Facebook. Il les utilisait à l’insu de leurs titulaires sur des sites de jeux en ligne, pour acheter des crédits lui permettant de jouer. Le montant était débité sur les comptes-clients de ces abonnés SFR, au nombre de 1500 environ.

Christophe B. admet avoir effectué de très nombreuses transactions sans avoir conscience du nombre et des montants exacts. Il indique avoir dépensé la quasi-totalité des sommes gagnées dans des voyages, notamment au Mexique, aux Maldives et au Cap Vert, où Julie H. l’a accompagné.

Condamnation pour escroquerie

L’examen de son matériel informatique saisi lors d’une perquisition permet de confirmer ses dires. Julie H. reconnaît avoir encaissé les gains de Christophe B. et avoir bénéficié du train de vie important qu’il menait. Elle assure qu’elle s’est abstenue de lui poser des questions, préférant se « voiler la face ».

A l’issue des investigations, ils sont poursuivis respectivement pour escroquerie et recel de bien obtenu à l’aide de l’escroquerie. Reconnus coupables de ces faits le 21 novembre 2013, par le tribunal correctionnel de Rennes, Christophe B. est condamné à 12 mois de prison avec sursis et Julie H. à 4 mois de prison avec sursis. Ils sont condamnés à rembourser les 194 000 euros à SFR, qui s’est portée partie civile – après avoir indemnisé tous les clients victimes de l’utilisation frauduleuse de leurs logins et mots de passe.

Ils font appel. Les déclarations de culpabilité et les sanctions pénales sont confirmées par la cour d’appel de Rennes, le 27 avril. Mais la condamnation civile de Julie H. est limitée au remboursement des 47 000 euros parvenus sur ses comptes. Celle de son ex-compagnon est confirmée, mais son avocat indique qu’il serait parti à l’étranger…

73% des grandes entreprises seraient incapables d’identifier et de protéger leurs actifs

IT SOCIAL | 09.06.2017 | Par Yves Grandmontagne

http://itsocial.fr/enjeux-it/securite-dsi/cybersecurite/73-grandes-entreprises-incapables-didentifier-de-proteger-leurs-actifs/

73% des grandes entreprises seraient incapables d’identifier et de protéger leurs actifs

Le dernier index Sécurité d’Accenture est pour le moins alarmant, la majorité des grandes entreprises peinent à identifier et à protéger leurs actifs clés contre les cyberattaques.

Réalisé en partenariat avec Oxford Economics auprès de 2.000 professionnels de la sécurité, l’index Sécurité d’Accenture fournit une référence de la cybersécurité dans les grandes entreprises. Mais le résultat est loin d’une réalité, celle de l’augmentation rapide de la fréquence et de la gravité des cyberattaques.

C’est ainsi, que l’on apprend que :

• 34% seulement des entreprises sont en mesure de surveiller les menaces pesant sur les composantes clés de leur activité.

73% sont incapables d’identifier et de protéger de façon satisfaisante leurs actifs et leurs processus essentiels.

Les deux chiffres se complètent et se confirment, l’amélioration et la modernisation des stratégies et des outils de sécurité dans les entreprises ne serait pas à la hauteur des attaques dont elles sont la cible !

• On apprend également que 52% des attaques ne sont pas détectées par les équipes de sécurité de l’entreprise, mais par les employés !

L’inquiétante faiblesse dans la performance sécuritaire des entreprises

L’index Sécurité d’Accenture repose sur 33 fonctions particulières de cybersécurité. Si les résultats varient d’un pays à l’autre, on peut estimer que quasi toutes les entreprises sont dans le rouge, avec au plan mondial une entreprise moyenne dont la performance n’est élevée que dans 11 des 33 fonctions de cybersécurité analysée.

Les entreprises françaises figurent cependant en tête, avec leurs homologues britanniques, avec une moyenne en haute performance dans 44% des capacités, soit 15 fonctions sur 33. Elles occupent la tête, mais avec un résultat plutôt décevant !

6 recommandations d’Accenture

Accenture donne 6 recommandations qui peuvent aider à concentrer les efforts d'amélioration des entreprises qui ont utilisé l'indice de sécurité pour évaluer leurs forces et leurs faiblesses :

1- Définir le succès de la cybersécurité dans l'organisation

Améliorer l'alignement de la stratégie de cybersécurité de l'entreprise avec ses impératifs commerciaux, et améliorer les capacités de détection et pour repousser les attaques les plus avancées.

2- Assurer des pressure-tests de sécurité

Engager les hackers externes pour réaliser les simulations d'attaque afin d’établir une évaluation réaliste des capacités internes. Par les pressure-tests, les dirigeants comprennent rapidement si l’entreprise peut vraiment résister à une attaque ciblée.

3- Protéger de l'intérieur

Prioriser la protection des actifs clés et se concentrer sur les intrusions internes qui ont le plus grand impact potentiel. Au lieu d'essayer d'anticiper une variété de possibilités de violations externes, les entreprises peuvent se concentrer sur un nombre restreint d'incursions internes critiques.

4- Continuer d'innover

Investir dans l'état de l'art des programmes qui permettent à l'entreprise de dépasser ses adversaires, au lieu de dépenser plus sur les programmes existants.

5- Travailler la sécurité pour tout le monde

Donner la priorité à la formation pour tous les employés. Ils jouent un rôle essentiel dans la détection et la prévention des violations. Ils représentent la première ligne de défense d'une entreprise.

6- L’exemple doit venir d’en haut

Le RSSI doit engager la direction générale et faire valoir que la cybersécurité est une priorité essentielle dans la protection de la valeur de l'entreprise.

Une cyberattaque massive bloque des ordinateurs dans des dizaines de pays

LE MONDE | 13.05.2017 | Par Nathalie Guibert, Damien Leloup et Philippe Bernard

http://www.lemonde.fr/international/article/2017/05/13/une-cyberattaque-massive-bloque-des-ordinateurs-dans-des-dizaines-de-pays_5127158_3210.html

Une cyberattaque massive bloque des ordinateurs dans des dizaines de pays

Royaume-Uni, Russie, Espagne, Portugal, France, Mexique… Vendredi 12 mai, des dizaines de milliers d’ordinateurs, dans au moins 99 pays, ont été infectés par un logiciel malveillant bloquant leur utilisation, dans ce qui semble être l’une des plus importantes campagnes de diffusion d’un logiciel de ce type depuis des années.

Outre-Manche, c’est le système de santé qui a été largement perturbé par ce virus informatique. Examens médicaux annulés ou perturbés, communications téléphoniques affectées, accès aux données bloqués… le Service national de santé (NHS) britannique, qui englobe médecins de ville, hôpitaux et ambulances, a été largement déstabilisé vendredi après-midi par ce logiciel qui prend en otage les usagers des ordinateurs en bloquant l’accès à leurs fichiers.

« Oups, vos fichiers ont été encodés », signale l’écran parasite, qui exige le paiement de 300 dollars (275 euros) sous peine d’effacement des contenus. Selon le NHS, qui a ouvert une enquête, l’attaquant a utilisé WannaCry, un virus de type « ransomware » (« rançongiciel ») qui se diffuse par le biais des courriels mais qui n’aurait pas pu accéder aux données personnelles des patients.

L’attaque aurait été renforcée par l’utilisation d’Eternal Blue, un outil de piratage mis au point par les services de renseignement américains et qui aurait été volé à l’Agence nationale de sécurité (NSA), affirme le quotidien britannique Financial Times. Il facilite la dissémination du virus à travers les systèmes de partage de fichiers couramment utilisés par les entreprises et les administrations.

NHS Digital, la structure qui centralise les usages médicaux de l’informatique par le système public de santé britannique, assure que le NHS n’était pas spécifiquement ciblé. Le centre national britannique de cybersécurité, une branche du Government Communications Headquarters, l’équivalent britannique de la NSA, a été mis en alerte.

-Le ministère russe de l’intérieur affecté

Le NHS n’a pas été la seule cible touchée par les pirates. La première ministre britannique, Theresa May, a déclaré dans la soirée que la cyberattaque contre le service public de santé était « une attaque internationale » touchant « plusieurs pays et organisations ».

Ainsi, Telefonica, le géant espagnol des télécommunications, et plusieurs autres entreprises du pays ont été victimes d’un virus similaire. « L’attaque a touché ponctuellement des équipements informatiques de travailleurs de différentes entreprises » et « n’affecte donc pas la prestation de services, ni l’exploitation des réseaux, ni l’usager de ces services », a assuré le ministère de l’énergie.

Le Centre cryptologique national espagnol – la division des services de renseignement chargée de la sécurité des technologies de l’information – a évoqué une « attaque massive de ransomware » qui « touche les systèmes Windows en cryptant tous leurs fichiers et ceux des réseaux en partage ». Des opérateurs téléphoniques portugais et l’entreprise américaine de livraison FedEx ont également été touchés, de même que le ministère de l’intérieur russe, qui a indiqué, vendredi soir, que ses ordinateurs avaient été la cible d’une « attaque virale ».

L’attaque, à ce stade, semble d’ampleur limitée en France, mais le secrétariat général pour la défense et la sécurité nationale estime qu’il n’y a aucune raison que le pays soit épargné. Pour les autorités, la nouveauté tient dans la très forte capacité de propagation du logiciel malveillant, en dépit des correctifs déjà apportés par Microsoft en mars.

Outre le constructeur automobile Renault, le ministère de l’éducation nationale a été touché. Le ministère de la défense n’a pas repéré de problème et a pris des mesures dans la nuit de vendredi à samedi pour mettre à jour ses passerelles en fonction du virus, notamment au sein du service de santé des armées. L’Agence nationale de sécurité des systèmes d’information diffuse des messages de bonnes pratiques. Le rendez-vous de lundi matin sera un test, dans les entreprises et les administrations, quand les personnels reprendront le travail. Selon la police française, plus de 75 000 ordinateurs ont été infectés dans le monde et ce nombre « devrait très vraisemblablement s’alourdir dans les jours qui viennent ». Cela en fait déjà la plus importante diffusion d’un logiciel de ce type de l’histoire.

-Failles dites « zero day »

D’après les premières constatations des experts, ce logiciel malveillant tire parti d’une faille de sécurité informatique, dont l’existence a été révélée à la mi-avril par un mystérieux groupe se faisant appeler The Shadow Brokers. Celui-ci avait rendu publique une série d’outils de piratage présentés comme faisant partie de l’arsenal de la NSA. La faille en question a été depuis corrigée par Microsoft, mais les ordinateurs dont le système d’exploitation n’est pas à jour restent vulnérables.

Edward Snowden, le lanceur d’alerte qui avait révélé l’existence des programmes secrets de surveillance du Web de la NSA, a estimé que l’agence américaine avait une importante part de responsabilité dans la diffusion de ce virus. « S’ils avaient révélé l’existence de cette faille de sécurité lorsqu’ils l’ont découverte, (...) tout cela ne serait pas arrivé », écrit-il sur son compte Twitter.

La NSA, comme d’autres agences de renseignement dans le monde, conserve généralement pour son propre usage les failles de sécurité que ses experts découvrent, ce qui lui permet de mener des piratages offensifs. Une pratique dénoncée par de nombreux experts en sécurité informatique, qui estiment que ces failles dites « zero day » – qui n’ont encore jamais été découvertes – doivent être corrigées dès leur découverte, car elles sont une source de danger pour tous les utilisateurs.

-Fragilités britanniques

Cette problématique est particulièrement cruciale pour les ordinateurs équipés de Windows XP – un système d’exploitation ancien, pour lequel Microsoft ne propose plus de mises à jour mais qui équipe encore de nombreux ordinateurs. Notamment au sein du NHS britannique, comme dans d’autres administrations. Au Royaume-Uni, le choc est particulièrement ressenti parce que le NHS est une institution très populaire, une source de fierté et un sujet ultrasensible du débat politique, en particulier dans la campagne actuelle pour les élections législatives, prévues le 8 juin. Cette administration tentaculaire, soumise à l’austérité budgétaire, souffre de faiblesses, notamment au niveau de son gigantesque système informatique, déjà visé par des attaques.

Dans un article publié le 10 mai par le prestigieux British Medical Journal, Krishna Chinthapalli, un neurologue exerçant dans un hôpital londonien, écrivait : « Nous devons nous préparer. D’autres hôpitaux vont presque certainement être paralysés par des “rançongiciels” cette année. » En 2016, quatre établissements hospitaliers anglais avaient déjà été paralysés plusieurs jours par un logiciel de ce type.

Selon ce médecin, les hôpitaux constituent des « cibles idéales » pour les maîtres chanteurs car ils détiennent des données uniques et sont « plus enclins » que d’autres institutions à payer pour récupérer rapidement leurs données. Krishna Chinthapalli rapporte qu’une attaque similaire a aussi visé un hôpital de Los Angeles l’an dernier. Une rançon de 3,4 millions de dollars avait été exigée. Selon des informations démenties par l’établissement, ce dernier a dû acquitter la somme de 17 000 dollars pour récupérer les données de ses patients.

-Des logiciels prisés des réseaux criminels

Les rançongiciels ont connu un développement exponentiel ces trois dernières années. Ils sont généralement conçus par des groupes criminels, et touchent le plus souvent les petites et moyennes entreprises, auxquelles ils extorquent des sommes variant entre quelques dizaines et quelques centaines d’euros par machine infectée – le paiement s’effectue en bitcoins, une monnaie virtuelle anonyme.

La plupart des victimes ne portent pas plainte. « Les entreprises pensent qu’en portant plainte elles terniront leur image et ne récupéreront pas nécessairement leurs données. Elles pensent aussi que payer la rançon coûtera moins cher que de payer une entreprise pour nettoyer leurs réseaux informatiques et installer des protections plus solides », regrettait, en 2016, dans un entretien au Monde, le commissaire François-Xavier Masson, chef de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication.

L’ampleur et la rapidité de diffusion de ce nouveau rançongiciel ont cependant accru l’inquiétude des services de sécurité. Pour l’instant, rien ne permet de lier ce logiciel malveillant à un acteur étatique, et l’hypothèse d’un acte criminel classique, mené par des personnes ayant exploité les failles dévoilées par The Shadow Brokers, est la piste la plus logique. Mais dans un contexte marqué par plusieurs piratages d’ampleur, dont la publication, à la veille du deuxième tour de la présidentielle française, de courriels piratés de la campagne d’Emmanuel Macron, les services de sécurité informatique des pays les plus touchés mènent l’enquête.

En France, des mesures de sécurité ont été prises, notamment pour protéger le réseau des hôpitaux militaires. Les services gouvernementaux restent prudents, car il faudra du temps pour analyser le logiciel et sa diffusion, pour savoir s’il visait des organisations spécifiques, comme l’affirme Mme May, ou si sa prolifération était opportuniste. Et il en faudra encore plus pour espérer retrouver ses concepteurs.

Une attaque informatique de portée mondiale crée la panique

LE MONDE | 12.05.2017 |

http://www.lemonde.fr/pixels/article/2017/05/12/des-hopitaux-anglais-perturbes-par-un-rancongiciel_5127034_4408996.html

Une attaque informatique de portée mondiale crée la panique

Les autorités américaines ont mis en garde vendredi 12 mai contre une vague de cyberattaques simultanées qui a touché des dizaines de pays dans le monde, recommandant de ne pas payer de rançon aux pirates informatiques. Ceux-ci ont apparemment exploité une faille dans les systèmes Windows, divulguée dans des documents piratés de l’agence de sécurité américaine NSA.

« Nous avons reçu de multiples rapports d’infection par un logiciel de rançon, a écrit le ministère américain de la sécurité intérieure dans un communiqué. Particuliers et organisations sont encouragés à ne pas payer la rançon car cela ne garantit pas que l’accès aux données sera restauré. »

Cette vague d’attaques informatiques de « portée mondiale » suscite l’inquiétude des experts en sécurité. Le virus en cause est un ransomware (« rançongiciel »), un programme qui bloque l’accès aux fichiers d’un ordinateur en vue d’obtenir une rançon.

« Nous avons relevé plus de 75 000 attaques dans 99 pays », a noté Jakub Kroustek, de la firme de sécurité informatique Avast, sur un blog. Forcepoint Security Labs, autre entreprise de sécurité informatique, évoque de son côté « une campagne majeure de diffusion d’emails infectés », avec quelque 5 millions d’emails envoyés chaque heure répandant le logiciel malveillant appelé WCry, WannaCry, WanaCrypt0r, WannaCrypt ou Wana Decrypt0r.