L’attaque, qui vient de s’achever, ne permet pas encore de tirer un bilan définitif. Selon Europol, 200.000 victimes ont été touchées dans plus de 150 pays.

Elle comporte encore quelques zones d’ombre, sur l’origine et les motivations réelles des assaillants, notamment. Voici le point sur une opération sans précédent dans l’histoire.

1. Comment l’attaque a-t-elle été menée ?

WanaCrypt0r 2.0. C’est l’un des noms du programme informatique que les attaquants ont déployé à très grande échelle vendredi sur toute la planète à partir de 3h24 (ET). Ce logiciel malveillant, du type « rançon­giciel », s’est propagé via l’ouverture d’un document corrompu, mais aussi en analysant le réseau local des ordinateurs.

Ces derniers sont devenus inaccessibles par leur propriétaire et affichaient un message leur demandant de payer une rançon de 300 dollars en bitcoins pour en reprendre le contrôle. Plus que la technique, déjà maintes fois utilisée, c’est la rapidité de propagation et son échelle qui ont frappé les esprits.

2. Qui sont les principales victimes ?

Dimanche, Rob Wainwright, ­directeur d’Europol, recensait 200.000 attaques perpétrées dans au moins 150 pays et en 48 heures.

Renault en France, FedEx aux Etats-Unis, Telefonica en Espagne, Deutsche Bahn en Allemagne ou le ministère russe de l’Intérieur ont été parmi les premiers à confirmer la longue liste des victimes. Ce sont principalement des entreprises et des services publics qui ont été visés et l’on connaî­tra l’ampleur réelle de l’attaque dans les prochaines 24 heures.

3. Que s’est-il passé dans les hôpitaux britanniques ?

L’Angleterre est l’un des pays les plus gravement affectés. Environ 20 % des organismes de gestion du National Health Service ont été frappés. La plupart étaient parve­nus à rétablir la situation dès samedi, a assuré la ministre de l’Intérieur, Amber Rudd, à l’issue d’une réunion de crise du gouver­nement.

Les hôpitaux ont dû annuler des milliers de rendez-vous et d’interventions programmées faute de pouvoir accéder à leurs données. Certains appareils médicaux, dont des IRM, ont dû cesser de fonctionner pendant quelques heures parce qu’ils étaient reliés au système informatique affecté. L’attaque n’a pas entraîné d’incident grave et les ­données des patients n’ont pas été affectées, mais le système de santé britannique restera perturbé pendant plusieurs semaines.

4. Qui sont les auteurs de cette attaque ?

S’il paraît très difficile d’identifier les auteurs de cette cyberattaque pour le moment, Europol a assuré avoir réuni une équipe durant le week-end pour aider l’enquête interna­tionale.

Pour Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi), « toutes les hypothèses sont à envisager, mais le plus probable est que cette attaque soit le fait d’un groupe criminel ».

5. En quoi la NSA est-elle concernée ?

Les premiers éléments démontrent que les assaillants ont utilisé une faille du système d’exploitation Windows pour disséminer le malware plus rapidement. Le service de renseignements américain (NSA) avait le premier repéré et exploité cette faille à dessein, mais s’est fait pirater par The Shadow Brokers, un groupe de hackers qui l’a exposée au grand jour.

Dans un tweet assassin, Edward Snowden a accusé l’agence américaine de ne pas avoir communiqué l’existence de cette faille plus tôt à Microsoft et prévenu ensuite ses ­utilisateurs. Les plus vulnérables ont été les détenteurs de Windows XP – dont Microsoft n’assurait plus le support technique.

6. L’attaque est-elle terminée ?

Plus de 1,3 million d’ordinateurs seraient encore vulnérables, selon le « Financial Times », via les protocoles de partage de fichiers. Mais un jeune Britannique de vingt-deux ans a déjà endigué la première vague dès vendredi.

En investiguant, il s’est aperçu que le cryptage des ordinateurs ne démarrait qu’après un renvoi vers une adresse Internet qui n’existait pas. Il a donc acheté le nom de domaine, stoppant le déclenchement du piratage. Cette fonction aurait été imaginée par les pirates pour arrêter d’un coup la dissémination de leur logiciel. Certains ­spécialistes ont déjà repéré une mise à jour du programme malin ne nécessitant plus cette opération pour déclencher le piratage de l’ordinateur.

7. Peut-on y apporter une réponse mondiale ?

Les ministres des Finances et les gouverneurs des banques centrales des pays membres du G7 se sont réunis samedi à Bari, en Italie, et ont reconnu la « menace croissante » que représente la cybercriminalité pour leurs économies.

Ils ont également promis de trouver de nouvelles mesures pour renforcer la cyber-sécurité et en discuteront lors de la prochaine réunion du G7 dans deux semaines, en Sicile.

Guillaume Bregeras, Vincent Collen, Sébastien Dumoulin et Claude Fouquet
lesechos.fr