Cyberattaque mondiale en cours: NotPetya pourrait être pire que WannaCry

Le point sur la situation, et comment cette attaque s'est propagée au monde entier, à lire ici.

L'expert en sécurité de Berkeley, Nicholas Weaver, explique à 20 Minutes que le transporteur maritime danois Maersk utilisait le logiciel MeDoc, premier vecteur de l'infection en Ukraine. Maersk l'utilisait dans une filiale ukrainienne mais le système était connecté à celui de son quartier général au Danemark.

Plusieurs experts informatiques sont remontés jusqu'au logiciel de comptabilité ukrainien MeDoc. Il aurait été piraté lors d'une mise à jour dont la signature n'a pas été vérifiée, et aurait ensuite servi de vecteur à l'attaque en cours, qui a touché plusieurs de ses clients. Cela n'explique pas comment l'attaque a gagné d'autres pays (selon Kaspersky, il y a toutefois plusieurs vecteurs d'infection).

Essentially what happened is MeDoc (big financial software) was hacked and they pushed out the malware via the update feature.

— Marcus Hutchins (@MalwareTechBlog) June 27, 2017

L‘accès à ce contenu a été bloqué afin de respecter votre choix de consentement

En cliquant sur « J‘ACCEPTE », vous acceptez le dépôt de cookies par des services externes et aurez ainsi accès aux contenus de nos partenaires

J‘ACCEPTE

Et pour mieux rémunérer 20 Minutes, n'hésitez pas à accepter tous les cookies, même pour un jour uniquement, via notre bouton "J‘accepte pour aujourd‘hui" dans le bandeau ci-dessous.

Plus d’informations sur la page Politique de gestion des cookies.

On n'est pour l'instant loin des centaines de milliers de PC infectés mais selon plusieurs chercheurs, le malware d'aujourd'hui est plus complexe que celui de mai, avec des vecteurs d'infection multiples. Surtout, il n'y a pas pour l'instant de «kill switch», ce mécanisme qui avait permis à une jeune chercheur britannique d'interrompre la propagation de Wannacry en achetant un simple nom de domaine pour 10 dollars.

En Ukraine, le Premier ministre Volodymyr Groïsman a évoqué une attaque «sans précédent». «Les banques éprouvent des difficultés à prendre en charge leurs clients et faire des opérations bancaires», a indiqué la banque centrale. A Kiev, les usagers du métro ne pouvaient plus acheter de tickets par carte bancaire tandis qu’à l’aéroport international la plupart des panneaux d’affichage étaient éteints.

L'Agence nationale de la sécurité des systèmes d'information «constate l’installation et la propagation d'un programme malveillant de type rançongiciel. D’après les premiers éléments techniques, le programme malveillant se propagerait automatiquement au sein du réseau des victimes et affecterait les serveurs et les postes de travail.»

L’ANSSI recommande :

• l'application immédiate des mises à jour de sécurité (à titre préventif, plus particulièrement celle de Microsoft MS17-010) ;
• le respect des recommandations génériques relatives aux rançongiciels ;
• de limiter l’exposition du service de partage de fichiers sur Internet ;

Le Danois Maersk confirme que ses systèmes sont touchés. Il s'agit de première compagnie maritime et plus grand armateur de porte-conteneurs du monde. Si la situation durait, ses opérations pourraient être perturbées.

UPDATE 15:00 CEST pic.twitter.com/L5pBYvNQd3

— Maersk (@Maersk) June 27, 2017

L‘accès à ce contenu a été bloqué afin de respecter votre choix de consentement

En cliquant sur « J‘ACCEPTE », vous acceptez le dépôt de cookies par des services externes et aurez ainsi accès aux contenus de nos partenaires

J‘ACCEPTE

Et pour mieux rémunérer 20 Minutes, n'hésitez pas à accepter tous les cookies, même pour un jour uniquement, via notre bouton "J‘accepte pour aujourd‘hui" dans le bandeau ci-dessous.

Plus d’informations sur la page Politique de gestion des cookies.

Le parquet de Paris a ouvert mardi une enquête sur la vaste cyberattaque en cours, selon l'AFP. Cette enquête de flagrance a été ouverte pour "accès et maintien frauduleux dans des systèmes de traitement automatisé de données", "entrave au fonctionnement" de ces systèmes, "extorsions et tentatives d'extorsions", a précisé cette source. En France, le géant publicitaire britannique WPP, l'industriel français Saint-Gobain, le distributeur Auchan et la SNCF ont indiqué avoir été touchés.

Le fournisseur d'email Posteo a bloqué l'adresse listée dans le message du rançongiciel. L'initiative est critiquée car:

• cela ne bloque pas les paiements ni la propagation du malware
• en revanche, ceux qui paient ne peuvent plus recevoir la clé pour déchiffrer leurs données (mais rien ne garantit que les hackers aient eu l'intention de débloquer les machines infectées).

Selon Avast, le malware utilise la faille de Windows EternalBlue pour se propager. Microsoft l'a pourtant corrigée après Wannacry, mais de nombreux systèmes n'ont visiblement pas été mis à jour.

#Petya-based #ransomware spreading massively today via EternalBlue like #WannaCry. We have seen 12K+ attempts so far https://t.co/ePLbNW8g5K

— Jakub Kroustek (@JakubKroustek) June 27, 2017

L‘accès à ce contenu a été bloqué afin de respecter votre choix de consentement

En cliquant sur « J‘ACCEPTE », vous acceptez le dépôt de cookies par des services externes et aurez ainsi accès aux contenus de nos partenaires

J‘ACCEPTE

Et pour mieux rémunérer 20 Minutes, n'hésitez pas à accepter tous les cookies, même pour un jour uniquement, via notre bouton "J‘accepte pour aujourd‘hui" dans le bandeau ci-dessous.

Plus d’informations sur la page Politique de gestion des cookies.

« Le niveau de cette attaque est sans précédent », a indiqué en anglais le secrétaire d’Etat français au Numériquen Mounir Mahjoubin au cours d’un déplacement à New York, en marge d’un sommet de la « French Touch » destiné à mettre en valeur l’attractivité de la France, notamment dans le domaine du numérique.

« L’attaque que le monde connaît en ce moment est une attaque industrialisée et automatisée qui est fondée sur une analyse très très intelligente des réseaux pour détecter les faiblesses existantes », a précisé le secrétaire d’Etat. Interrogé par l’AFP sur les mesures que prenait actuellement le gouvernement français pour parer cette attaque et sur des précisions concernant sa nature, il a répondu qu’il était « trop tôt ». « Nous avons des équipes qui travaillent à analyser cette attaque », a-t-il expliqué.

Lors de Wannacry, qui demandait 300 dollars en Bitcoin pour débloquer un PC,  70.000 dollars avaient été versés mais aucune donnée n’a été libéré, selon le rapport officiel du gouvernement américain.

Pour l'instant, 25 personnes/entreprises ont déjà payé pour NotPetya, pour une somme totale de 7.000 dollars, selon un bot qui surveille les transactions bitocoins liées au rançongiciel.

Someone just paid 0.128643 BTC ($307.49 USD) to a bitcoin wallet tied to the #Petya/#NotPetya ransomware attack https://t.co/0eWD0FtssI

— petya_payments (@petya_payments) June 27, 2017

L‘accès à ce contenu a été bloqué afin de respecter votre choix de consentement

En cliquant sur « J‘ACCEPTE », vous acceptez le dépôt de cookies par des services externes et aurez ainsi accès aux contenus de nos partenaires

J‘ACCEPTE

Et pour mieux rémunérer 20 Minutes, n'hésitez pas à accepter tous les cookies, même pour un jour uniquement, via notre bouton "J‘accepte pour aujourd‘hui" dans le bandeau ci-dessous.

Plus d’informations sur la page Politique de gestion des cookies.

Photo de Reuters en Ukraine.

Petya on an ATM. Photo by REUTERS.https://t.co/fDQ0nGyQc6 pic.twitter.com/gT2xQP9wAo

— @mikko (@mikko) June 27, 2017

L‘accès à ce contenu a été bloqué afin de respecter votre choix de consentement

En cliquant sur « J‘ACCEPTE », vous acceptez le dépôt de cookies par des services externes et aurez ainsi accès aux contenus de nos partenaires

J‘ACCEPTE

Et pour mieux rémunérer 20 Minutes, n'hésitez pas à accepter tous les cookies, même pour un jour uniquement, via notre bouton "J‘accepte pour aujourd‘hui" dans le bandeau ci-dessous.

Plus d’informations sur la page Politique de gestion des cookies.

La SNCF fait partie des entités subissant une cyberattaque mondiale en cours, mais celle-ci est «contenue», a indiqué mardi un porte-parole du groupe ferroviaire à l'AFP, tandis qu'Auchan a également annoncé avoir été touché.

«Comme d'autres entreprises, la SNCF subit l'attaque en cours (...) nous ne sommes pas victimes», a insisté ce porte-parole, soulignant que les opérations de l'entreprise ferroviaire n'étaient pas affectées. «Nos équipes sont sur le pont, elles (les attaques) sont contenues», a ajouté le porte-parole.

Le distributeur français Auchan a également été touché en Ukraine. «Les systèmes informatiques touchés ont été isolés et pour le moment, le problème est contenu», a indiqué une porte-parole du groupe. Auchan précise que «ses activités de commerce électronique continuent de fonctionner normalement» et qu'il «n'a pas prévu de fermer ses magasins».

C'est le chiffre initial donné par Kaspersky, et vu la vitesse de propagation, ça va clairement augmenter.

La société d'antivirus Kaspersky indique que selon ses analyses, il ne s'agit pas de ransomware Petya mais d'un nouveau malware inconnu qu'elle baptise NotPetya.

DLA Piper, un cabinet d'avocat américain, indique que son système est HS et invite tous les employés à ne pas brancher leur ordinateur portable à leur station de travail.

A tipster sends along this photo taken outside DLA Piper's D.C. office around 10am. #Petya pic.twitter.com/HWS4UFlvQR

— Eric Geller (@ericgeller) June 27, 2017

L‘accès à ce contenu a été bloqué afin de respecter votre choix de consentement

En cliquant sur « J‘ACCEPTE », vous acceptez le dépôt de cookies par des services externes et aurez ainsi accès aux contenus de nos partenaires

J‘ACCEPTE

Et pour mieux rémunérer 20 Minutes, n'hésitez pas à accepter tous les cookies, même pour un jour uniquement, via notre bouton "J‘accepte pour aujourd‘hui" dans le bandeau ci-dessous.

Plus d’informations sur la page Politique de gestion des cookies.

En Allemagne, selon la chaîne de télé régionale NDR, «plus rien ne fonctionne au siège» de Beiersdorf, le fabricant de la crème Nivea et de nombreux salariés ont dû rentrer chez eux.