Cyberattaque mondiale en cours: NotPetya pourrait être pire que WannaCry

INFORMATIQUE L'ampleur de l'attaque rappelle celle de Wannacry, en mai dernier...  

Philippe Berry

— 

Une cyberattaque utilisant le rançongiciel Petya touche le monde entier, le 27 juin 2017.
Une cyberattaque utilisant le rançongiciel Petya touche le monde entier, le 27 juin 2017. — Oleg Reshetnyak/AP/SIPA

L’ESSENTIEL

  • La cyberattaque a commencé en Ukraine et en Russie, puis a gagné l’Europe et les Etats-Unis
  • Le rançongiciel NotPetya paralyse les systèmes informatiques en chiffrant les données et demande une rançon pour les débloquer.
  • Le groupe pétrolier Rosnef, les laboratoires Merck et Saint-Gobain, notamment, sont touchés

3h00: Ce live est terminé

Le point sur la situation, et comment cette attaque s'est propagée au monde entier, à lire ici.

0h30: L'infection au Danemark liée à l'Ukraine

L'expert en sécurité de Berkeley, Nicholas Weaver, explique à 20 Minutes que le transporteur maritime danois Maersk utilisait le logiciel MeDoc, premier vecteur de l'infection en Ukraine. Maersk l'utilisait dans une filiale ukrainienne mais le système était connecté à celui de son quartier général au Danemark.

23h00: Un logiciel de comptabilité ukrainien principal vecteur de l'attaque?

Plusieurs experts informatiques sont remontés jusqu'au logiciel de comptabilité ukrainien MeDoc. Il aurait été piraté lors d'une mise à jour dont la signature n'a pas été vérifiée, et aurait ensuite servi de vecteur à l'attaque en cours, qui a touché plusieurs de ses clients. Cela n'explique pas comment l'attaque a gagné d'autres pays (selon Kaspersky, il y a toutefois plusieurs vecteurs d'infection).

 

22h45: NotPetya pourrait être pire que WannaCry

On n'est pour l'instant loin des centaines de milliers de PC infectés mais selon plusieurs chercheurs, le malware d'aujourd'hui est plus complexe que celui de mai, avec des vecteurs d'infection multiples. Surtout, il n'y a pas pour l'instant de «kill switch», ce mécanisme qui avait permis à une jeune chercheur britannique d'interrompre la propagation de Wannacry en achetant un simple nom de domaine pour 10 dollars.

 

22h35 : Les banques et les infrastructures particulièrement touchées en Ukraine

En Ukraine, le Premier ministre Volodymyr Groïsman a évoqué une attaque «sans précédent». «Les banques éprouvent des difficultés à prendre en charge leurs clients et faire des opérations bancaires», a indiqué la banque centrale. A Kiev, les usagers du métro ne pouvaient plus acheter de tickets par carte bancaire tandis qu’à l’aéroport international la plupart des panneaux d’affichage étaient éteints.

22h15: Avertissement de l'ANSSI

L'Agence nationale de la sécurité des systèmes d'information «constate l’installation et la propagation d'un programme malveillant de type rançongiciel. D’après les premiers éléments techniques, le programme malveillant se propagerait automatiquement au sein du réseau des victimes et affecterait les serveurs et les postes de travail.»

L’ANSSI recommande :

  • l'application immédiate des mises à jour de sécurité (à titre préventif, plus particulièrement celle de Microsoft MS17-010) ;
  • le respect des recommandations génériques relatives aux rançongiciels ;
  • de limiter l’exposition du service de partage de fichiers sur Internet ;

 

21h20: Le plus grand transporteur maritime du monde touché

Le Danois Maersk confirme que ses systèmes sont touchés. Il s'agit de première compagnie maritime et plus grand armateur de porte-conteneurs du monde. Si la situation durait, ses opérations pourraient être perturbées.

 

20h45: Le parquet de Paris ouvre une enquête

Le parquet de Paris a ouvert mardi une enquête sur la vaste cyberattaque en cours, selon l'AFP. Cette enquête de flagrance a été ouverte pour "accès et maintien frauduleux dans des systèmes de traitement automatisé de données", "entrave au fonctionnement" de ces systèmes, "extorsions et tentatives d'extorsions", a précisé cette source. En France, le géant publicitaire britannique WPP, l'industriel français Saint-Gobain, le distributeur Auchan et la SNCF ont indiqué avoir été touchés.

20h15: Ceux qui ont payé la rançon ne pourront pas recevoir la clé pour déchiffrer leurs données

Le fournisseur d'email Posteo a bloqué l'adresse listée dans le message du rançongiciel. L'initiative est critiquée car:

  • cela ne bloque pas les paiements ni la propagation du malware
  • en revanche, ceux qui paient ne peuvent plus recevoir la clé pour déchiffrer leurs données (mais rien ne garantit que les hackers aient eu l'intention de débloquer les machines infectées).

 

20h10: Le malware utiliserait la même faille que Wannacry

Selon Avast, le malware utilise la faille de Windows EternalBlue pour se propager. Microsoft l'a pourtant corrigée après Wannacry, mais de nombreux systèmes n'ont visiblement pas été mis à jour.

 

20h00 : Cyberattaque d’un niveau « sans précédent », selon le secrétaire d’Etat au Numérique

« Le niveau de cette attaque est sans précédent », a indiqué en anglais le secrétaire d’Etat français au Numériquen Mounir Mahjoubin au cours d’un déplacement à New York, en marge d’un sommet de la « French Touch » destiné à mettre en valeur l’attractivité de la France, notamment dans le domaine du numérique.

« L’attaque que le monde connaît en ce moment est une attaque industrialisée et automatisée qui est fondée sur une analyse très très intelligente des réseaux pour détecter les faiblesses existantes », a précisé le secrétaire d’Etat. Interrogé par l’AFP sur les mesures que prenait actuellement le gouvernement français pour parer cette attaque et sur des précisions concernant sa nature, il a répondu qu’il était « trop tôt ». « Nous avons des équipes qui travaillent à analyser cette attaque », a-t-il expliqué.

19h50: Rappel, cela ne sert à rien de payer la rançon

Lors de Wannacry, qui demandait 300 dollars en Bitcoin pour débloquer un PC, 70.000 dollars avaient été versés mais aucune donnée n’a été libéré, selon le rapport officiel du gouvernement américain.

Pour l'instant, 25 personnes/entreprises ont déjà payé pour NotPetya, pour une somme totale de 7.000 dollars, selon un bot qui surveille les transactions bitocoins liées au rançongiciel.

 

19h50: Des distributeurs de billets HS en Ukraine

Photo de Reuters en Ukraine.

 

19h45: Situation sous contrôle à la SNCF et Auchan

La SNCF fait partie des entités subissant une cyberattaque mondiale en cours, mais celle-ci est «contenue», a indiqué mardi un porte-parole du groupe ferroviaire à l'AFP, tandis qu'Auchan a également annoncé avoir été touché.

«Comme d'autres entreprises, la SNCF subit l'attaque en cours (...) nous ne sommes pas victimes», a insisté ce porte-parole, soulignant que les opérations de l'entreprise ferroviaire n'étaient pas affectées. «Nos équipes sont sur le pont, elles (les attaques) sont contenues», a ajouté le porte-parole.

Le distributeur français Auchan a également été touché en Ukraine. «Les systèmes informatiques touchés ont été isolés et pour le moment, le problème est contenu», a indiqué une porte-parole du groupe. Auchan précise que «ses activités de commerce électronique continuent de fonctionner normalement» et qu'il «n'a pas prévu de fermer ses magasins».

19h40: 2.000 entreprises/utilisateurs touchés

C'est le chiffre initial donné par Kaspersky, et vu la vitesse de propagation, ça va clairement augmenter.

 

19h35: En fait, il ne s'agit pas du virus Petya mais d'un nouveau malware que Kaspersky baptise NotPetya

La société d'antivirus Kaspersky indique que selon ses analyses, il ne s'agit pas de ransomware Petya mais d'un nouveau malware inconnu qu'elle baptise NotPetya.

19h30: Des employés au chômage technique

DLA Piper, un cabinet d'avocat américain, indique que son système est HS et invite tous les employés à ne pas brancher leur ordinateur portable à leur station de travail.

En Allemagne, selon la chaîne de télé régionale NDR, «plus rien ne fonctionne au siège» de Beiersdorf, le fabricant de la crème Nivea et de nombreux salariés ont dû rentrer chez eux.

Les hackers remettent ça. Après l’attaque géante de mai dernier avec le ransomware Wannacry, c’est un autre rançongiciel qui secoue la planète ce mardi. Il s’appelle Petya, et il se propage à toute vitesse. Il a d’abord frappé l’Ukraine et la Russie, puis a touché l’Europe et gagne désormais les Etats-Unis. Banques, groupes pétroliers et pharmaceutiques, les systèmes informatiques de nombreuses entreprises sont bloqués par l’attaque, qui, comme pour Wannacry, demande une rançon pour les libérer. La centrale nucléaire ukrainienne de Tchernobyl à même été forcée de revenir à des mesures manuelles pour mesurer les niveaux de radioactivité.