New-Tech

Une attaque informatique "sans précédent" a touché 99 pays à travers le monde et forcé Renault à mettre des sites de production à l'arrêt. Mais à quoi est-elle due? Les particuliers peuvent-ils être touchés? Comment s'en protéger? Toutes les réponses à vos questions.


Qu'est-ce qu'un ransomware?

Ces attaques ont été causées par ce qu'on appelle un "ransomware" ou "rançongiciel" en français. Ce virus s'infiltre dans l'ordinateur pour crypter les données de l'utilisateur. Ce dernier a alors besoin de la clé de chiffrement adéquate pour pouvoir décrypter et accéder à ses fichiers. Les hackers proposent le cas échéant aux entreprises touchées de récupérer cette clé en échange de 300 dollars en bitcoins, une monnaie virtuelle intraçable. Si les victimes refusent, la somme demandée est doublée dans les trois jours. Au bout de 7 jours, les hackeurs promettent de supprimer les fichiers.

La particularité du ransomware est qu'une fois qu'il s'installe chez un utilisateur, par exemple à la suite de l'ouverture d'un email, il est capable de se répandre de lui-même vers les autres ordinateurs du même réseau. "Contrairement à des virus normaux", le virus utilisé "se répand directement d'ordinateur à ordinateur sur des serveurs locaux, plutôt que par email", indique à l'AFP Lance Cottrell, directeur scientifique du groupe technologique américain Ntrepid. "Ce logiciel de rançon peut se répandre sans que qui que ce soit ouvre un email ou clique sur un lien".


Comment se sont déroulées les attaques?

Le logiciel malveillant appelé WCry, WannaCry, WanaCrypt0r, WannaCrypt ou Wana Decrypt0r s'appuie sur une faille de sécurité des systèmes Windows XP. Cette défaillance avait été remarquée par la NSA et apparaissait noir sur blanc dans des documents qui ont par la suite été piratés et rendus public par le collectif de hackeurs "Shadow Brokers".

Pour faire simple, cette faiblesse de Windows XP permettait aux hackeurs d'accéder plus facilement aux ordinateurs fonctionnant avec ce système d'exploitation. Un patch de sécurité avait pourtant été proposé par Microsoft pour corriger cette erreur mais n'a manifestement pas encore été téléchargé par toutes les sociétés. Au vu de l'ampleur des dégâts, Microsoft a décidé de réactiver sa mise à jour (voir plus bas). Il précise néanmoins que cette attaque ne vise pas les Windows 10.

Selon la société de cybersécurité Avast, plus de 75.000 attaques ont été enregistrées durant la journée de vendredi. La Russie, l'Ukraine et Taiwan étant les plus touchés.


Touche-t-elle les particuliers?

Dans ce cas précis, ce sont surtout des entreprises fonctionnant avec Windows qui ont été visées mais, dans l'absolu, ces attaques pourraient effectivement toucher un particulier sur n'importe quel système d'exploitation, via n'importe quelle plateforme (téléphone, tablette, ordinateur). D'autant plus que, selon des chercheurs travaillant pour l'éditeur de logiciels McAfee, des "ransomware" prêts à l'emploi sont accessibles à tous dans le dark net, cette portion du web qui regroupe des pages non indexées par les moteurs de recherche classiques et qui permettent de naviguer de manière anonyme. Autrement dit, n'importe qui, sans connaissance préalable, peut créer ce genre de logiciel en quelques minutes.


Pourquoi font-ils cela?

Pour l'instant, l'opération ne serait pas un franc succès puisque "seulement" 6.000 dollars ont été payés", peut-on lire sur le Huffington Post. C'est Chema Alonso, un ancien hackeur au service de Telefonica (concernée par le piratage) qui l'affirme sur son blog après avoir examiné le portefeuille BitCoin utilisé pour recevoir les transactions.

"On n'est pas sur un 'ransomware' classique, qui vise en général des particuliers ou des petites entreprises. Là, les pirates se sont attaqués à des grandes institutions, peu susceptibles de payer, surtout vu la publicité faite à l'opération", rappelle Amar Zendik, PDG de la société de sécurité Mind Technologies, qui penche pour une attaque menée par "hackers".

"A priori, les auteurs de l'attaque ne souhaitaient pas récupérer de l'argent, mais plutôt faire un coup", ajoute-t-il.


Ces attaques vont-elles cesser?

De nombreuses entreprises vont maintenant se prémunir contre ce genre de désagréments, ce qui va compliquer de nouvelles attaques du même type. Selon Le Monde, un chercheur en informatique aurait en outre réussi à ralentir la diffusion du logiciel malveillant. MalwareTech a ainsi découvert que le virus envoie une requête à un site web bien particulier pour se répandre. Si le site est inaccessible alors le malware peut se propager. Jusque-là, le site en question était toujours inaccessible puisque le nom de domaine n'existait pas. Or, depuis, le chercheur MalwareTech l'a acheté, ce qui a par conséquent rendu le site accessible, ralentissant fortement la propagation du logiciel.

"Généralement un logiciel malveillant est relié à un nom de domaine qui n'est pas enregistré. En simplement enregistrant ce nom de domaine, on arrive à stopper sa propagation", a-t-il dit à l'AFP. Sur Twitter, il a avoué qu'il ne savait pas, au moment d'enregistrer le domaine, que la manoeuvre suffisait à arrêter le virus et que son action était donc "accidentelle au départ".

Mais il a été chaudement félicité sur les forums spécialisés et son blog a été publié sur le site internet du National Cyber Security Centre (NCSC), le centre britannique de cyber-sécurité.

"Il a clairement réussi à enrayer la propagation", a assuré à l'AFP Marco Cova, spécialiste en cybersécurité chez Lastline. De là à l'arrêter complètement? Laurent Maréchal, expert en cybersécurité chez McAfee, a préféré rester prudent. "Le nom de domaine en question est-il le seul nom de domaine concerné? Il est trop tôt pour le dire. Il se pourrait très bien que le logiciel vienne à se décliner sous d'autres formes", a-t-il dit à l'AFP.

© dr


Comment s'en protéger?

Faites des back-up. Des sauvegardes de vos données sur un disque dur externe rendront inutiles les actions des hackeurs puisque vous pourrez les récupérer via vos sauvegardes en deux temps trois mouvements. 

Mettre son système d'exploitation à jour. Comme expliqué ci-dessus, l'attaque a été facilitée à cause d'un défaut de sécurité qui touchait les systèmes Windows. Heureusement, le principal concerné avait à l'époque publié un patch pour réparer ce souci. Il suffit donc de mettre son Windows à jour pour renforcer son ordinateur. Microsoft a réactivé une mise à jour pour aider les utilisateurs de certaines versions de son système d'exploitation Windows à faire face à l'attaque informatique.

"En mars, nous avons publié une mise à jour de sécurité qui répond à la vulnérabilité que ces attaques exploitent. Ceux qui ont activé la fonction 'mises à jour automatiques' de Microsoft sont donc protégés. Pour les systèmes qui n'ont pas encore fait cette mise à jour, nous suggérons de déployer immédiatement le bulletin de sécurité MS17-010", indique Microsoft dans son blog. Il dirige également les utilisateurs de Windows Defender vers une autre mise à jour disponible.

Windows XP ne fait en principe plus l'objet de mises à jour depuis 2014 car remplacé par Windows 10, mais Microsoft a indiqué que face à l'ampleur de l'attaque il réactivait les procédures d'assistance à ses clients.

Télécharger un antivirus. Trop d'internautes surfent encore sur internet sans antivirus efficace. Leur ordinateur est alors vulnérable à n'importe quelle attaque, pas seulement celle-ci. N'oubliez donc pas de télécharger un antivirus avant de surfer sur internet pour la première fois (y compris sur votre téléphone!). Beaucoup de sites spécialisés proposent des comparatifs d'antivirus gratuits. Dans le même ordre d'idée, scannez très souvent votre ordinateur pour éliminer tout ce qui aurait pu s'infiltrer dans vos fichiers.

Ne cliquez pas sur les liens suspects. Même si un contact de confiance vous envoie un mail avec un lien, examinez-le attentivement avant. Bien souvent, vous pourrez voir à l'oeil nu si ce lien est suspect ou non. Dès que vous n'avez pas confiance, évitez tout simplement de cliquer sur un lien ou de télécharger un fichier. Cela vous évitera bien des soucis.


Et si vous êtes touchés?

Si vous êtes touchés, coupez votre accès à internet pour éviter d'empirer la situation ou de transmettre le virus par inadvertance. Ne payez pas la rançon et appelez un professionnel qui vous aidera à récupérer le contrôle de votre machine.