Une faille Windows et une bourde de la NSA à l'origine de la cyberattaque mondiale

[pkoipas]

La vague de cyberattaques simultanées qui a touché des entreprises et organisations dans des dizaines de pays vendredi, à l'aide d'un logiciel de rançon, exploite apparemment une faille dans les systèmes Windows, faille qui avait été découverte par l'agence de sécurité américaine NSA.
Suite à un vol de documents de la NSA décrivant cette faille dans le software de Microsoft, elle avait été divulguée en avril dernier par le groupe de hackers "Shadow Brokers". Microsoft avait entre-temps publié, en mars, un patch de sécurité censé y remédier, mais de nombreux systèmes n'ont pas encore été mis à jour et restent vulnérables, ce qui a permis l'attaque de portée mondiale observée vendredi.
Virus extrêmemement contagieux
La particularité du ransomware utilisé est qu'une fois qu'il s'installe chez un utilisateur, par exemple à la suite de l'ouverture d'un , il est capable de se répandre de lui-même vers les autres ordinateurs du même réseau. "Contrairement à des virus normaux", le virus utilisé "se répand directement d'ordinateur à ordinateur sur des serveurs locaux, plutôt que par ", indique Lance Cottrell, directeur scientifique du groupe technologique américain Ntrepid. "Ce logiciel de rançon peut se répandre sans que qui que ce soit ouvre un ou clique sur un lien".
Rançongiciel
Appelé WCry, WannaCry, WanaCrypt0r, WannaCrypt ou Wana Decrypt0r, il permet en fait de verrouiller ou crypter des fichiers sur le poste atteint, pour ensuite exiger de l'utilisateur de l'ordinateur de payer une certaine somme d'argent pour en récupérer l'usage. Un tel logiciel est appelé "ransomware", ou "rançongiciel" en version francisée.
75.000 attaques dans 99 pays
"Nous avons relevé plus de 75.000 attaques dans 99 pays", a noté dans la soirée Jakub Kroustek, de la firme de sécurité informatique Avast. Forcepoint Security Labs, autre entreprise de sécurité informatique, évoque de son côté "une campagne majeure de diffusion d's infectés", avec quelque 5 millions d's envoyés chaque heure répandant le logiciel malveillant.
La NHS visée
Des images circulant vendredi montrent les écrans de certains ordinateurs d'hôpitaux publics du NHS (National Health Service) britannique, où l'on peut lire un message exigeant le paiement de 300 dollars en bitcoins pour décrypter les fichiers. Le paiement doit intervenir dans les trois jours, ou le prix double, et si l'argent n'est pas versé dans les sept jours les fichiers piratés seront effacés, précise le message.
Rendez-vous annulés, ambulances détournées
Si la direction du service de santé publique s'est montrée rassurante en assurant n'avoir "pas d'élément permettant de penser qu'il y a eu accès à des données de patients", le blocage d'ordinateurs dans nombre de ses hôpitaux a forcément perturbé le cours habituel des choses. Des dizaines d'hôpitaux ont été contraints d'annuler certains actes médicaux ou de renvoyer des ambulances vers d'autres établissements, et on a demandé à des employés d'éteindre leurs ordinateurs.
La négligence de la NSA
"Si la NSA avait discuté en privé de cette faille utilisée pour attaquer des hôpitaux quand ils l'ont 'découverte', plutôt que quand elle leur a été volée, ça aurait pu être évité", a regretté sur Twitter Edward Snowden, l'ancien consultant de l'agence de sécurité américaine qui avait dévoilé l'ampleur de la surveillance de la NSA en 2013.


Plusieurs médias français touchés par une cyberattaque

Les sites de plusieurs médias français, dont L'Équipe, Le Monde, Le Figaro ou L'Obs, ont été touchés mercredi par une attaque qui visait l'un de leurs prestataires informatiques.
"Nous subissons une attaque sérieuse et 3 de nos 5 réseaux anycast sont sous DDOS (qui consistent à rendre un serveur indisponible en le surchargeant de requêtes). Nous sommes en train de réparer", a indiqué la société Cedexis en anglais sur son compte Twitter à 15h20.
Cette société franco-américaine est une sorte d'"aiguilleur du net" qui réoriente les flux de requêtes vers les meilleurs fournisseurs d'accès internet au niveau mondial, en fonction du trafic en temps réel.
"Le Figaro est actuellement indisponible. Un prestataire technique est ciblé par une attaque", a indiqué le journal sur son compte, comme Sud-Ouest, France 3 Lorraine et La République des Pyrénées.
L'Équipe a signalé un retour à la normale dès 15h22 sur son compte Twitter, mais son site était parfois inaccessible aux alentours de 17h00.


La Russie également touchée par la cyberattaque mondiale

Les autorités espagnoles avaient été parmi les premières à communiquer en Europe, indiquant que le géant des télécoms Telefonica et de nombreuses autres entreprises avaient été visées par une cyberattaque dans la journée.
Royaume-Uni
Theresa May, la Première ministre du Royaume-Uni, avait elle aussi déjà communiqué sur les problèmes informatiques constatés dans différents hôpitaux publics britanniques. Mais les confirmations de cibles visées par cette attaque de "ransomware" continuent d'affluer vendredi soir.
Russie
Le Ministère russe de l'Intérieur fait ainsi partie des cibles atteintes, a-t-il lui-même confirmé. "Environ un millier d'ordinateurs ont été bloqués, ce qui représente moins d'1% des ordinateurs du ministère", a rassuré la porte-parole Irina Volk, selon l'agence Tass. Elle a précisé que les serveurs n'avaient pas été infectés.
USA
Le géant US de la livraison FedEx a reconnu avoir lui aussi été touché. Les autorités américaines, indiquant avoir pris connaissance de cyberattaques simultanées "dans plusieurs pays dans le monde", ont quant à elles appelé à ne pas payer la rançon exigée par le logiciel malveillant. "Particuliers et organisations sont encouragés à ne pas payer la rançon car cela ne garantit pas que l'accès aux données sera restauré", a écrit le ministère de la Sécurité intérieure dans un communiqué.
Faille Windows
Cette vague d'attaques informatiques de "portée mondiale" suscite l'inquiétude des experts en sécurité qui pointent l'exploitation d'une faiblesse dans les systèmes Windows, divulguée dans des documents piratés de l'agence de renseignement américaine NSA. Microsoft a publié un patch de sécurité il y a quelques mois pour réparer cette faille, mais de nombreux systèmes n'ont pas encore été mis à jour.
NSA
Selon la société Kaspersky, le logiciel malveillant a été publié en avril par le groupe de pirates "Shadow Brokers", qui affirment avoir découvert la faille informatique par la NSA.

 

[pkoipas]

La cyberattaque mondiale suscite l'inquiétude

Les autorités américaines et britanniques ont mis en garde vendredi contre une vague de cyberattaques simultanées qui a touché des dizaines de pays dans le monde, à l'aide d'un logiciel de rançon, et conseillé de ne pas payer les pirates informatiques. Aucune attaque informatique n'a pour le moment été signalée en Belgique.
Les pirates ont apparemment exploité une faille dans les systèmes Windows, divulguée dans des documents piratés de l'agence de sécurité américaine NSA.
Royaume-Uni
"Aujourd'hui nous avons assisté à une série de cyberattaques contre des milliers d'organisations et d'individus dans des dizaines de pays", a indiqué dans un communiqué l'agence britannique de cybersécurité (NCSC).
Etats-Unis
"Nous avons reçu de multiples rapports d'infection par un logiciel de rançon", a écrit le ministère américain de la Sécurité intérieure dans un communiqué. "Particuliers et organisations sont encouragés à ne pas payer la rançon car cela ne garantit pas que l'accès aux données sera restauré."
Inquiétude
Cette vague d'attaques informatiques de "portée mondiale" suscite l'inquiétude des experts en sécurité. Le logiciel verrouille les fichiers des utilisateurs et les force à payer une somme d'argent sous forme de bitcoins pour en recouvrer l'usage: on l'appelle le "rançongiciel".
75.000 attaques dans 99 pays
"Nous avons relevé plus de 75.000 attaques dans 99 pays", a noté Jakub Kroustek de la firme de sécurité informatique Avast. Forcepoint Security Labs, autre entreprise de sécurité informatique, évoque de son côté "une campagne majeure de diffusion d'e-mails infectés", avec quelque 5 millions d'e-mails envoyés chaque heure répandant le logiciel malveillant appelé WCry, WannaCry, WanaCrypt0r, WannaCrypt ou Wana Decrypt0r.
Espagne, Australie, Russie
Des organisations en Espagne, en Australie, en Belgique, en France, en Allemagne, en Italie et au Mexique ont également été touchées, selon des analystes. Aux Etats-Unis, le géant de livraison de colis FedEx a reconnu avoir lui aussi été infecté. Le ministère russe de l'Intérieur a également annoncé avoir été touché par un virus informatique vendredi, même s'il n'a pas été précisé s'il s'agit bien de la même attaque.
NHS, Renault
Ces attaques informatiques ont notamment touché le service public de santé britannique (NHS), bloquant les ordinateurs de nombreux hôpitaux du pays. L'attaque a par ailleurs sérieusement désorganisé des dizaines d'hôpitaux, contraints d'annuler certains actes médicaux et de renvoyer des ambulances vers d'autres établissements. Le constructeur automobile français Renault a également annoncé avoir été touché par la vague de cyberattaques simultanées.
Belgique
En Belgique, la police fédérale et le Centre pour la Cybersécurité Belgique (CCB) n'ont pas encore reçu de signalement de piratage. "On ne peut cependant pas l'exclure", indique le directeur du CCB Miguel De Bruycker. Il conseille aux internautes de ne pas ouvrir les pièces jointes d'e-mails suspects, de mettre à jour leur ordinateur et d'effectuer un back-up régulier de leurs données.

 

[pkoipas]

Une attaque informatique d'un niveau "sans précédent"

MISE À JOUR
L'attaque informatique internationale affectant plusieurs pays et organisations est "d'un niveau sans précédent", a déclaré samedi l'Office européen des polices Europol.
"L'attaque récente est d'un niveau sans précédent et exigera une investigation internationale complexe pour identifier les coupables", a indiqué dans un communiqué Europol, dont le Centre européen de cybercriminalité (EC3) "collabore avec les unités de cybercriminalité des pays affectés et les partenaires industriels majeurs pour atténuer la menace et assister les victimes".
Faille Windows
Les pirates ont apparemment exploité une faille dans les systèmes Windows, divulguée dans des documents piratés de l'agence de sécurité américaine NSA.
Royaume-Uni
"Aujourd'hui nous avons assisté à une série de cyberattaques contre des milliers d'organisations et d'individus dans des dizaines de pays", a indiqué dans un communiqué l'agence britannique de cybersécurité (NCSC).
Etats-Unis
"Nous avons reçu de multiples rapports d'infection par un logiciel de rançon", a écrit le ministère américain de la Sécurité intérieure dans un communiqué. "Particuliers et organisations sont encouragés à ne pas payer la rançon car cela ne garantit pas que l'accès aux données sera restauré."
Inquiétude
Cette vague d'attaques informatiques de "portée mondiale" suscite l'inquiétude des experts en sécurité. Le logiciel verrouille les fichiers des utilisateurs et les force à payer une somme d'argent sous forme de bitcoins pour en recouvrer l'usage: on l'appelle le "rançongiciel".
75.000 attaques dans 99 pays
"Nous avons relevé plus de 75.000 attaques dans 99 pays", a noté Jakub Kroustek de la firme de sécurité informatique Avast. Forcepoint Security Labs, autre entreprise de sécurité informatique, évoque de son côté "une campagne majeure de diffusion d'e-mails infectés", avec quelque 5 millions d'e-mails envoyés chaque heure répandant le logiciel malveillant appelé WCry, WannaCry, WanaCrypt0r, WannaCrypt ou Wana Decrypt0r.
Espagne, Australie, Russie
Des organisations en Espagne, en Australie, en Belgique, en France, en Allemagne, en Italie et au Mexique ont également été touchées, selon des analystes. Aux Etats-Unis, le géant de livraison de colis FedEx a reconnu avoir lui aussi été infecté. Le ministère russe de l'Intérieur a également annoncé avoir été touché par un virus informatique vendredi, même s'il n'a pas été précisé s'il s'agit bien de la même attaque.
NHS, Renault
Ces attaques informatiques ont notamment touché le service public de santé britannique (NHS), bloquant les ordinateurs de nombreux hôpitaux du pays. L'attaque a par ailleurs sérieusement désorganisé des dizaines d'hôpitaux, contraints d'annuler certains actes médicaux et de renvoyer des ambulances vers d'autres établissements. Le constructeur automobile français Renault a également annoncé avoir été touché par la vague de cyberattaques simultanées.
Belgique
En Belgique, la police fédérale et le Centre pour la Cybersécurité Belgique (CCB) n'ont pas encore reçu de signalement de piratage. "On ne peut cependant pas l'exclure", indique le directeur du CCB Miguel De Bruycker. Il conseille aux internautes de ne pas ouvrir les pièces jointes d'e-mails suspects, de mettre à jour leur ordinateur et d'effectuer un back-up régulier de leurs données.


La cyberattaque paralyse des usines Renault en France

Des sites de production du groupe automobile Renault ont été mis à l'arrêt samedi en France en raison de la cyberattaque mondiale, qui a touché l'entreprise, a-t-on appris auprès de la direction.
L'arrêt de la production "fait partie des mesures de protection qui ont été prises pour éviter la propagation du virus", a déclaré à l'AFP un porte-parole, sans préciser le nom des sites concernés. "On est en train de faire le tour des usines", a précisé ce porte-parole.
Normandie
Selon une source syndicale, l'usine de Sandouville, en Normandie (Nord-Ouest), -qui emploie 3.400 salariés et produit quelque 640 véhicules utilitaires par jour- est notamment concernée.
Rançongiciel
La cyberattaque, "d'un niveau sans précédent" selon Europol, a été réalisée à l'aide d'un logiciel de rançon. Ce dernier verrouille les fichiers des utilisateurs et les force à payer une somme d'argent sous forme de bitcoins pour en recouvrer l'usage.