Une cyberattaque utilisant le rançongiciel Petya touche le monde entier, le 27 juin 2017. — Oleg Reshetnyak/AP/SIPA

L’avertissement WannaCry n’aura pas suffi. Six semaines après la cyberattaque au rançongiciel qui avait pris en otage plus de 300.000 ordinateurs, une nouvelle vague a déferlé sur les réseaux d’entreprises du monde entier, mardi. L’Ukraine a été la principale cible avec des banques, le métro de Kiev et même la centrale de Tchernobyl touchés. La France n’y a pas échappé avec Saint-Gobain, Auchan et la SNCF visés. Le malware, une variante du rançongiciel Petya, chiffre tous les fichiers d’un PC et demande une rançon pour les débloquer. Heureusement, les particuliers semblent pour l’instant épargnés.

L’Ukraine, principale victime

Selon le fabricant d’antivirus Kaspersky, plus de 2.000 réseaux d’entreprises et d’institutions ont été touchés au cours des premières heures de l’attaque. 60 % sont situés en Ukraine et 30 % en Russie. En Ukraine, des distributeurs de billets ont été paralysés, tout comme des caisses de supermarché et de stations-service. Le métro et l’aéroport de Kiev ont également connu une journée difficile, avec des panneaux d’affichage en rade. A la centrale de Tchernobyl, le système de mesure du niveau de radiation a dû être passé en manuel. Le gouvernement a réagi avec un GIF approprié.

Some of our gov agencies, private firms were hit by a virus. No need to panic, we’re putting utmost efforts to tackle the issue 👌 pic.twitter.com/RsDnwZD5Oj — Ukraine / Україна (@Ukraine) June 27, 2017

En Russie, la victime principale a été le géant pétrolier Rosneft.

L’Europe et les Etats-Unis pas épargnés

En France, les réseaux de plusieurs entreprises (SNCF, Auchan et Saint-Gobain) ont été compromis. La situation était toutefois « contenue » mardi soir, et il n’y a eu aucun retard de trains. Au Danemark, c’est le leader du transport maritime Maersk qui a subi l’attaque de plein fouet. Son activité a été perturbée et il a même dû fermer son terminal à Los Angeles. En Allemagne, « plus rien ne fonctionnait au siège » de Beiersdorf (Nivea) et les employés sont rentrés chez eux. DLA Piper, un cabinet juridique américain, a ordonné à tous ses salariés de ne pas brancher leur ordinateur portable à leur station de travail.

A tipster sends along this photo taken outside DLA Piper's D.C. office around 10am. #Petya pic.twitter.com/HWS4UFlvQR — Eric Geller (@ericgeller) June 27, 2017

Comment l'attaque s'est propagée

Selon les experts de Cisco, le patient zéro a été contaminé en Ukraine. Le réseau de MeDoc, une entreprise qui conçoit des systèmes de comptabilité, a été infecté par une mise à jour automatique piratée. L’épidémie s’est ensuite propagée à ses nombreux clients. Le transporteur Maersk, notamment, utilise MeDoc en Ukraine sur un réseau connecté à celui de son siège au Danemark, explique à 20 Minutes Nicholas Weaver, chercheur en sécurité à l’université de Berkeley. Selon lui, cette variante du malware Petya est « bien plus sophistiquée que Wannacry ». On ignore comment elle a gagné le reste de l'Europe et les Etats-Unis, mais elle utilise plusieurs vecteurs d’infection et n’a pas de bug majeur connu. Contrairement à son cousin, il ne devrait donc pas être possible de la rendre inoffensive en bloquant un simple nom de domaine.

Encore une fois, le problème remonte à la NSA et à Windows

Selon Microsoft, le malware tire profit de la faille de Windows EternalBlue, qui aurait été exploitée pendant des années par la NSA. L'agence américaine a été récemment piratée, et son arsenal mis en ligne par le groupe Shadow Brokers en avril. Du coup, les hackers peuvent s’en donner à cœur joie. Microsoft a déjà publié un patch correctif (MS17-010), mais il n’a pas été installé partout. Et il suffit qu’un seul ordinateur soit compromis pour qu’un réseau entier soit infecté en quelques minutes. La seule solution est d’éteindre son PC avant le premier reboot, qui lance une fausse opération de maintenance du disque dur (CHDSK) mettant tous les fichiers sous clé.

Payer la rançon ne sert à rien

Plus de 30 entreprises ont déjà payé la rançon de 300 dollars, pour un total qui dépassait 8.000 dollars mardi soir.

The bitcoin wallet tied to #Petya/#NotPetya ransomware has so far received 33 payments totaling 3.39803736 BTC ($8,809.69 USD) — petya_payments (@petya_payments) June 28, 2017

Mais passer à la caisse ne sert à rien : l’adresse email associée a été désactivée par le fournisseur allemand Posteo. Du coup, ceux qui ont payé ne pourront jamais recevoir la clé pour décrypter leurs fichiers. Nicholas Weaver a un conseil simple : « Faites des sauvegardes régulières. » Mais face au relatif amateurisme du système de rançon, l’expert suspecte que la motivation des hackers n’était pas financière. Ce qui est sûr, c’est qu’ils ont réussi à semer le chaos en Ukraine, et on en saura sans doute plus dans les prochains jours.