Comment la nouvelle cyberattaque s’est propagée au monde entier ?

L’avertissement WannaCry n’aura pas suffit. Six semaines après la cyberattaque au rançongiciel qui avait pris en otage plus de 300.000 ordinateurs, une nouvelle vague a déferlé sur les réseaux d’entreprises du monde entier, mardi. L’Ukraine a été la principale cible avec des banques, le métro de Kiev et même la centrale de Tchernobyl touchés. La France n’y a pas échappé avec Saint-Gobain, Auchan et la SNCF visés. Le malware, une variante du rançongiciel Petya, chiffre tous les fichiers d’un PC et demande une rançon pour les débloquer. Heureusement, les particuliers semblent pour l’instant épargnés.

Selon les experts de Cisco, le patient zéro a été contaminé en Ukraine. Le réseau de MeDoc, une entreprise qui conçoit des systèmes de comptabilité, a été infecté par une mise à jour automatique piratée. L’épidémie s’est ensuite propagée à ses nombreux clients. Le transporteur Maersk, notamment, utilise MeDoc en Ukraine sur un réseau connecté à celui de son siège au Danemark, explique à 20 Minutes Nicholas Weaver, chercheur en sécurité à l’université de Berkeley. Selon lui, cette variante du malware Petya est « bien plus sophistiquée que Wannacry ». On ignore comment elle a gagné le reste de l’Europe et les Etats-Unis, mais elle utilise plusieurs vecteurs d’infection et n’a pas de bug majeur connu. Contrairement à son cousin, il ne devrait donc pas être possible de la rendre inoffensive en bloquant un simple nom de domaine.

Encore une fois, le problème remonte à la NSA et à Windows

Selon Microsoft, le malware tire profit de la faille de Windows EternalBlue, qui aurait été exploitée pendant des années par la NSA. L’agence américaine a été récemment piratée, et son arsenal mis en ligne par le groupe Shadow Brokers en avril. Du coup, les hackers peuvent s’en donner à cœur joie. Microsoft a déjà publié un patch correctif (MS17-010), mais il n’a pas été installé partout. Et il suffit qu’un seul ordinateur soit compromis pour qu’un réseau entier soit infecté en quelques minutes. La seule solution est d’éteindre son PC avant le premier reboot, qui lance une fausse opération de maintenance du disque dur (CHDSK) mettant tous les fichiers sous clé.

Payer la rançon ne sert à rien

Plus de 30 entreprises ont déjà payé la rançon de 300 dollars, pour un total qui dépassait 8.000 dollars mardi soir. Mais passer à la caisse ne sert à rien : l’adresse email associée a été désactivée par le fournisseur allemand Posteo. Du coup, ceux qui ont payé ne pourront jamais recevoir la clé pour décrypter leurs fichiers. Un conseil simple : « Faites des sauvegardes régulières. » Mais face au relatif amateurisme du système de rançon, l’expert suspecte que la motivation des hackers n’était pas financière. Ce qui est sûr, c’est qu’ils ont réussi à semer le chaos en Ukraine, et on en saura sans doute plus dans les prochains jours.

Source : 20minutes.fr

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *