Les dessous de la cyberattaque mondiale Petya
80 entreprises ukrainiennes et russes ont été ciblées ce 27 juin. Un virus de type rançongiciel est pointé du doigt. L’attaque s’est étendue à toute l’Europe et aux Etats-Unis.
Des cyberattaques ont touché simultanément 80 entreprises ukrainiennes et russes ce mardi 27 juin, selon le spécialiste de la sécurité informatique Group-IB. Parmi les organisations concernées, on relève des acteurs dans les transports, les médias, les télécoms et le secteur public. Egalement touchées, des banques locales ont éprouvé des difficultés à prendre en charge leurs clients.
Des entreprises et organisations ont aussi été ciblées dans d’autres pays européens, mais aussi aux Etats-Unis. En France, Saint-Gobain a été touché. L’information a été confirmée par le groupe qui précise avoir “isolé ses systèmes d’information” en vue de protéger ses données. Le géant publicitaire britannique WPP et le transporteur maritime danois Maersk ont aussi été touchés.
Une attaque plus virulente que WannaCry
La source de ces cyberattaques ? Un ransomware reposant sur la même matrice que WannaCry. Le 12 mai dernier, ce rançongiciel avait paralysé des centaines de milliers d’ordinateurs à travers le monde. En France, plusieurs usines du constructeur Renault avaient notamment été affectées.
“Le premier bulletin du CERT est tombé vers 12h. Il s’agit effectivement d’une variante de WannaCry qui peut infecter des terminaux Windows plus anciens, remontant jusqu’à la version NT1 du système d’exploitation de Microsoft. Mécaniquement, il touche par conséquent un nombre plus important de machines”, commente Frans Imbert-Vier, PDG d’Ubcom, une agence d’audit et de conseil en cybersécurité. ¨Plusieurs entreprises victimes évoquent des demandes de rançon de 300 dollars.
Une faille dévoilée par Wikileaks
Baptisé Petya, le ransomware se traduit par une attaque plus virulente que celle observée le 12 mai. “En Europe, “1,2% des IP publiques sont actuellement touchées”, indique Frans Imbert-Vier en se référant aux indicateurs fournis par la solution d’analyse des menaces Norse Attack Map. Et le consultant de préciser : “Les systèmes Windows récents, Windows 10 et Windows Server 2012, sont théoriquement protégés, pour peu d’avoir été correctement patchés.”
Pour prévenir tout risque d’infection issue de WannaCry ou de l’une de ses déclinaisons (GoldenEye, Petrwap ainsi que Petya), Microsoft a publié le 14 mars dernier un bulletin (MS17-010) et une mise à jour de sécurité. Elle permet de corriger la faille exploitée par le ransomware. Une faille découverte initialement par la NSA… “L’agence l’avait gardée secrète jusqu’au moment où elle a été rendue publique sur Wikileaks”, rappelle Frans Imbert-Vier. C’est là que les pirates s’en sont emparés.
Antoine Crochet- Damais
journaldunet.com