Un nouveau virus informatique vient de s’attaquer à plusieurs grandes entreprises, ainsi qu’à la centrale de Tchernobyl et à l’aéroport de Kiev. Il s’agit d’une cyberattaque de type ransomware – ou rançongiciel – similaire à WannaCry qui avait atteint le même type de cibles en mai dernier. Ces logiciels malveillants chiffrent les données personnelles de leurs cibles et demandent une rançon en échange du décryptage des données.

C’était il y a un peu plus d’un mois, le 12 mai dernier, le logiciel malveillant WannaCry immobilisait entre 200 000 et 300 000 postes dans 150 pays. Rebelote, ce mardi 27 juin. Un nouveau virus informatique, de type « ransomware », a touché des grandes entreprises et administrations. Dans la journée, un premier « foyer infectieux », comme le raconte Le Monde, a été repéré en Ukraine : la banque nationale, l’aéroport de Kiev, la compagnie d’électricité Ukrenergo, l’ancienne centrale nucléaire de Tchernobyl, où les employés ont dû mesurer la radioactivité manuellement. Le rançongiciel s’est ensuite propagé au reste de l’Europe, puis ailleurs dans le monde, grâce à une faille de Windows, une vulnérabilité appelée « Eternal Blue », présente dans les systèmes de Microsoft.

Ransomware, rançongiciel ou logiciel de rançon

L’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) définit un rançongiciel comme « une catégorie de programmes malveillants visant à obtenir le paiement d’une rançon. Pour ce faire, le programme malveillant essaie le plus souvent d’empêcher l’utilisateur d’accéder à ses fichiers, par exemple en les chiffrant, et lui indique les instructions utiles au paiement de la ranço ». En clair, les données sont prises en otage et pour y accéder à nouveau et débloquer l’ordinateur, il faut payer une rançon. Pour cette attaque, 300 dollars en bitcoins, une monnaie numérique, est réclamée pour déverrouiller les ordinateurs, indique Les Echos. Mais attention, comme WannaCry, ce nouveau virus restreint les adresses bitcoin où effectuer le paiement. Une centralisation qui pourrait signifier que les victimes ne reverront pas leurs données, même en s’acquittant du montant demandé.

Mode opératoire

Selon l’ANSSI, la propagation du programme malveillant sur le réseau des victimes peut emprunter plusieurs chemins : « en utilisant les identifiants (login, mot de passe) obtenus sur les machines infectées ; en exploitant des vulnérabilités du protocole SMB (identifiées dans le bulletin MS17-010). » L’agence nationale précise que « cette capacité de propagation multiple rend potentiellement vulnérables certains réseaux » et ceci, « malgré l’application des mises à jour ». L’ANSSI poursuit : « sur chaque machine infectée, le rançongiciel force un redémarrage et modifie le secteur de démarrage de Windows afin d’afficher le message de demande de rançon et rendre inaccessibles les données. » Selon l’agence, toutes les versions de Windows seraient susceptibles d’être affectées. Serveurs et postes de travail.

Petya ou NotPetya ?

Au moment de sa propagation, les experts ont cru voir une réplique du rançongiciel Petya, repéré dès mars 2016. Mais rapidement, l’éditeur de solutions de cybersécurité Kaspersky a constaté des différences entre Petya et le nouveau virus qu’il a baptisé NotPetya, « un nouveau ransomware jamais vu auparavant ». Ce rançongiciel possède des similitudes avec WannaCry, notamment cette utilisation de la faille Eternal Blue.

Comment se prémunir du virus

Pour se prémunir contre le virus, l’ANSSI recommande « l’application immédiate des mesures de sécurité », notamment celle de « Microsoft MS17-010 ». De ne pas payer la rançon, car celui-ci ne « garantit pas la récupération des données ». L’agence donne également plusieurs mesures techniques à mettre en place pour limiter la propagation du virus et recommande même d’isoler un ordinateur le temps d’appliquer les mesures nécessaires. Mounir Mahjoubi, le secrétaire d’Etat au Numérique, a indiqué à l’AFP que « des équipes travaillent à analyser cette attaque ». En attendant, le Parquet de Paris a annoncé, dès mardi soir, l’ouverture d’une enquête de flagrance (pour constater le flagrant délit), pour « accès et maintien frauduleux dans des systèmes de traitement automatisés de données », et « entrave au fonctionnement », ainsi que « extorsions et tentatives d’extorsions ».