Nouveau coup de chaud dans la cybersécurité. En milieu d’après-midi, des messages apparus sur Twitter laissent entrevoir une campagne d’infection par un ransomware aussi dévastatrice que WannaCry. A l’heure où nous écrivons ces lignes, la campagne apparaît en effet massive et a fait des victimes en Ukraine, en Russie, en Espagne, en Grande-Bretagne et aussi en France. Dans l’Hexagone, le groupe Saint-Gobain a confirmé avoir été touché aujourd’hui par un ransomware. Joint par la rédaction, un porte-parole du groupe industriel indique avoir « isolé les systèmes informatiques par mesure de sécurité », sans toutefois être à même de préciser comment cette mesure impacte l’activité de la société. « L’incident est en cours de résolution », indique le service communication de l’entreprise. Pour chaque PC compromis, les hackers réclament l’équivalent de 300 $ de rançon, payés en bitcoin.
A l’heure actuelle, les autres entreprises françaises victimes de cette campagne infectieuse ne sont pas encore connues. Mais des entreprises globales comme le transporteur maritime Maersk ou le pétrolier russe Rosneft ont déjà confirmé être touchés.
« L’alerte est venu des utilisateurs ce midi, raconte Gérôme Billois, senior manager en gestion des risques et sécurité de Wavestone. Nous sommes sur des niveaux de contamination similaires à ceux de WannaCry. Même si cette nouvelle infection cible plutôt des postes bureautiques. A l’instant t, des centaines de PC sont touchés chez nos clients, mais l’outil de production semble lui épargné. » Rappelons que WannaCry avait de son côté fait de nombreux dégâts sur des applications métier ou industrielles, comme chez Renault ou à la Deutsche Bahn.
L’alerte est venue un peu plus tôt d’Ukraine, où la banque centrale a indiqué que diverses banques et entreprises du pays (dont le métro de Kiev, les services postaux, l’opérateur télécoms principal et le distributeur national d’énergie Ukrenergo) ont été visées par une attaque qui a perturbé leur fonctionnement habituel. Rappelons que l’Ukraine a été la cible de plusieurs cyberattaques spectaculaires, dont deux sont parvenues à provoquer des pannes d’électricité (en décembre 2015 et décembre 2016). Cette fois, l’approvisionnement en électricité ne semble pas menacé.
BitDefender explique que GoldenEye renferme deux couches de chiffrement: une qui crypte individuellement les fichiers cibles sur l’ordinateur et une autre qui chiffre l’ensemble du système de fichiers NTFS. Ce qui empêche toute tentative de démarrage du disque dur pris en otage depuis un autre système.
Reste à connaître le mode de diffusion de cette nouvelle menace. Le caractère massif de l’infection laisse supposer que le ransomware se diffuse comme un ver, à l’instar de WannaCry, et non plus via des mails infectieux comme le faisaient Locky ou Cerber. Selon l’éditeur d’antivirus Avira, la nouvelle souche exploiterait, comme WannaCry, la faille EternalBlue, touchant le service SMB de Windows. Une vulnérabilité que Microsoft a corrigée, y compris pour des systèmes qui ne sont plus supportés comme Windows XP.
« La principale question est de savoir comment ce malware a réussi à infecter autant de postes en si peu de temps, analyse Gérôme Billois. Soit la souche exploite EternalBlue pour se diffuser, mais ce serait une grosse surprise car, alertés par la crise WannaCry, les entreprises ont massivement corrigé cette faille. Soit la menace passe par une faille inconnue. Soit on a affaire à une bombe logique programmée pour se déclencher simultanément partout dans le monde. » Bref, un malware dormant qui, d’ailleurs, a très bien pu exploiter EternalBlue pour se diffuser avant que cette vulnérabilité ne soit comblée…
A lire aussi :
Le ransomware Petya verrouille complétement le disque dur
WannaCry : le ransomware qui n’a plus besoin du phishing
Jean-Louis Lanet, Inria : « si le ransomware parfait existait… »
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
