3h00: Ce live est terminé
Le point sur la situation, et comment cette attaque s'est propagée au monde entier, à lire ici.
Cyberattaque mondiale en cours: NotPetya pourrait être pire que WannaCry
INFORMATIQUE L'ampleur de l'attaque rappelle celle de Wannacry, en mai dernier...
L’ESSENTIEL
- La cyberattaque a commencé en Ukraine et en Russie, puis a gagné l’Europe et les Etats-Unis
- Le rançongiciel NotPetya paralyse les systèmes informatiques en chiffrant les données et demande une rançon pour les débloquer.
- Le groupe pétrolier Rosnef, les laboratoires Merck et Saint-Gobain, notamment, sont touchés
0h30: L'infection au Danemark liée à l'Ukraine
L'expert en sécurité de Berkeley, Nicholas Weaver, explique à 20 Minutes que le transporteur maritime danois Maersk utilisait le logiciel MeDoc, premier vecteur de l'infection en Ukraine. Maersk l'utilisait dans une filiale ukrainienne mais le système était connecté à celui de son quartier général au Danemark.
23h00: Un logiciel de comptabilité ukrainien principal vecteur de l'attaque?
Plusieurs experts informatiques sont remontés jusqu'au logiciel de comptabilité ukrainien MeDoc. Il aurait été piraté lors d'une mise à jour dont la signature n'a pas été vérifiée, et aurait ensuite servi de vecteur à l'attaque en cours, qui a touché plusieurs de ses clients. Cela n'explique pas comment l'attaque a gagné d'autres pays (selon Kaspersky, il y a toutefois plusieurs vecteurs d'infection).
Essentially what happened is MeDoc (big financial software) was hacked and they pushed out the malware via the update feature.
— MalwareTech (@MalwareTechBlog) June 27, 2017
22h45: NotPetya pourrait être pire que WannaCry
On n'est pour l'instant loin des centaines de milliers de PC infectés mais selon plusieurs chercheurs, le malware d'aujourd'hui est plus complexe que celui de mai, avec des vecteurs d'infection multiples. Surtout, il n'y a pas pour l'instant de «kill switch», ce mécanisme qui avait permis à une jeune chercheur britannique d'interrompre la propagation de Wannacry en achetant un simple nom de domaine pour 10 dollars.
22h35 : Les banques et les infrastructures particulièrement touchées en Ukraine
En Ukraine, le Premier ministre Volodymyr Groïsman a évoqué une attaque «sans précédent». «Les banques éprouvent des difficultés à prendre en charge leurs clients et faire des opérations bancaires», a indiqué la banque centrale. A Kiev, les usagers du métro ne pouvaient plus acheter de tickets par carte bancaire tandis qu’à l’aéroport international la plupart des panneaux d’affichage étaient éteints.
22h15: Avertissement de l'ANSSI
L'Agence nationale de la sécurité des systèmes d'information «constate l’installation et la propagation d'un programme malveillant de type rançongiciel. D’après les premiers éléments techniques, le programme malveillant se propagerait automatiquement au sein du réseau des victimes et affecterait les serveurs et les postes de travail.»
L’ANSSI recommande :
- l'application immédiate des mises à jour de sécurité (à titre préventif, plus particulièrement celle de Microsoft MS17-010) ;
- le respect des recommandations génériques relatives aux rançongiciels ;
- de limiter l’exposition du service de partage de fichiers sur Internet ;
21h20: Le plus grand transporteur maritime du monde touché
Le Danois Maersk confirme que ses systèmes sont touchés. Il s'agit de première compagnie maritime et plus grand armateur de porte-conteneurs du monde. Si la situation durait, ses opérations pourraient être perturbées.
UPDATE 15:00 CEST pic.twitter.com/L5pBYvNQd3
— Maersk (@Maersk) June 27, 2017
20h45: Le parquet de Paris ouvre une enquête
Le parquet de Paris a ouvert mardi une enquête sur la vaste cyberattaque en cours, selon l'AFP. Cette enquête de flagrance a été ouverte pour "accès et maintien frauduleux dans des systèmes de traitement automatisé de données", "entrave au fonctionnement" de ces systèmes, "extorsions et tentatives d'extorsions", a précisé cette source. En France, le géant publicitaire britannique WPP, l'industriel français Saint-Gobain, le distributeur Auchan et la SNCF ont indiqué avoir été touchés.
20h15: Ceux qui ont payé la rançon ne pourront pas recevoir la clé pour déchiffrer leurs données
Le fournisseur d'email Posteo a bloqué l'adresse listée dans le message du rançongiciel. L'initiative est critiquée car:
- cela ne bloque pas les paiements ni la propagation du malware
- en revanche, ceux qui paient ne peuvent plus recevoir la clé pour déchiffrer leurs données (mais rien ne garantit que les hackers aient eu l'intention de débloquer les machines infectées).
.@Posteo_de leaves victims of recent ransomware outbreak out in the cold, by blocking attackers account. https://t.co/xqQAc026sJ
— Pascale Müller (@PascaleMller) June 27, 2017
20h10: Le malware utiliserait la même faille que Wannacry
Selon Avast, le malware utilise la faille de Windows EternalBlue pour se propager. Microsoft l'a pourtant corrigée après Wannacry, mais de nombreux systèmes n'ont visiblement pas été mis à jour.
#Petya-based #ransomware spreading massively today via EternalBlue like #WannaCry. We have seen 12K+ attempts so far https://t.co/ePLbNW8g5K
— Jakub Kroustek (@JakubKroustek) June 27, 2017
20h00 : Cyberattaque d’un niveau « sans précédent », selon le secrétaire d’Etat au Numérique
« Le niveau de cette attaque est sans précédent », a indiqué en anglais le secrétaire d’Etat français au Numériquen Mounir Mahjoubin au cours d’un déplacement à New York, en marge d’un sommet de la « French Touch » destiné à mettre en valeur l’attractivité de la France, notamment dans le domaine du numérique.
« L’attaque que le monde connaît en ce moment est une attaque industrialisée et automatisée qui est fondée sur une analyse très très intelligente des réseaux pour détecter les faiblesses existantes », a précisé le secrétaire d’Etat. Interrogé par l’AFP sur les mesures que prenait actuellement le gouvernement français pour parer cette attaque et sur des précisions concernant sa nature, il a répondu qu’il était « trop tôt ». « Nous avons des équipes qui travaillent à analyser cette attaque », a-t-il expliqué.
19h50: Rappel, cela ne sert à rien de payer la rançon
Lors de Wannacry, qui demandait 300 dollars en Bitcoin pour débloquer un PC, 70.000 dollars avaient été versés mais aucune donnée n’a été libéré, selon le rapport officiel du gouvernement américain.
Pour l'instant, 25 personnes/entreprises ont déjà payé pour NotPetya, pour une somme totale de 7.000 dollars, selon un bot qui surveille les transactions bitocoins liées au rançongiciel.
Someone just paid 0.128643 BTC ($307.49 USD) to a bitcoin wallet tied to the #Petya/#NotPetya ransomware attack https://t.co/0eWD0FtssI
— petya_payments (@petya_payments) June 27, 2017
19h50: Des distributeurs de billets HS en Ukraine
Photo de Reuters en Ukraine.
Petya on an ATM. Photo by REUTERS.https://t.co/fDQ0nGyQc6 pic.twitter.com/gT2xQP9wAo
— @mikko (@mikko) June 27, 2017
19h45: Situation sous contrôle à la SNCF et Auchan
La SNCF fait partie des entités subissant une cyberattaque mondiale en cours, mais celle-ci est «contenue», a indiqué mardi un porte-parole du groupe ferroviaire à l'AFP, tandis qu'Auchan a également annoncé avoir été touché.
«Comme d'autres entreprises, la SNCF subit l'attaque en cours (...) nous ne sommes pas victimes», a insisté ce porte-parole, soulignant que les opérations de l'entreprise ferroviaire n'étaient pas affectées. «Nos équipes sont sur le pont, elles (les attaques) sont contenues», a ajouté le porte-parole.
Le distributeur français Auchan a également été touché en Ukraine. «Les systèmes informatiques touchés ont été isolés et pour le moment, le problème est contenu», a indiqué une porte-parole du groupe. Auchan précise que «ses activités de commerce électronique continuent de fonctionner normalement» et qu'il «n'a pas prévu de fermer ses magasins».
19h40: 2.000 entreprises/utilisateurs touchés
C'est le chiffre initial donné par Kaspersky, et vu la vitesse de propagation, ça va clairement augmenter.
Kaspersky Lab analysts say new attacks are not a variant of Petya ransomware as publicly reported, but a new ransomware they call NotPetya pic.twitter.com/Uf8phx9Pkf
— Patrick O'Neill (@HowellONeill) June 27, 2017
19h35: En fait, il ne s'agit pas du virus Petya mais d'un nouveau malware que Kaspersky baptise NotPetya
La société d'antivirus Kaspersky indique que selon ses analyses, il ne s'agit pas de ransomware Petya mais d'un nouveau malware inconnu qu'elle baptise NotPetya.
19h30: Des employés au chômage technique
DLA Piper, un cabinet d'avocat américain, indique que son système est HS et invite tous les employés à ne pas brancher leur ordinateur portable à leur station de travail.
A tipster sends along this photo taken outside DLA Piper's D.C. office around 10am. #Petya pic.twitter.com/HWS4UFlvQR
— Eric Geller (@ericgeller) June 27, 2017
En Allemagne, selon la chaîne de télé régionale NDR, «plus rien ne fonctionne au siège» de Beiersdorf, le fabricant de la crème Nivea et de nombreux salariés ont dû rentrer chez eux.
Les hackers remettent ça. Après l’attaque géante de mai dernier avec le ransomware Wannacry, c’est un autre rançongiciel qui secoue la planète ce mardi. Il s’appelle Petya, et il se propage à toute vitesse. Il a d’abord frappé l’Ukraine et la Russie, puis a touché l’Europe et gagne désormais les Etats-Unis. Banques, groupes pétroliers et pharmaceutiques, les systèmes informatiques de nombreuses entreprises sont bloqués par l’attaque, qui, comme pour Wannacry, demande une rançon pour les libérer. La centrale nucléaire ukrainienne de Tchernobyl à même été forcée de revenir à des mesures manuelles pour mesurer les niveaux de radioactivité.