Les autorités américaines ont mis en garde vendredi 12 mai contre une vague de cyberattaques simultanées qui a touché des dizaines de pays dans le monde, recommandant de ne pas payer de rançon aux pirates informatiques. Ceux-ci ont apparemment exploité une faille dans les systèmes Windows, divulguée dans des documents piratés de l’agence de sécurité américaine NSA.

« Nous avons reçu de multiples rapports d’infection par un logiciel de rançon, a écrit le ministère américain de la sécurité intérieure dans un communiqué. Particuliers et organisations sont encouragés à ne pas payer la rançon car cela ne garantit pas que l’accès aux données sera restauré. »

Lire : Une cyberattaque massive bloque des ordinateurs dans des dizaines de pays

Cette vague d’attaques informatiques de « portée mondiale » suscite l’inquiétude des experts en sécurité. Le virus en cause est un ransomware (« rançongiciel »), un programme qui bloque l’accès aux fichiers d’un ordinateur en vue d’obtenir une rançon.

« Nous avons relevé plus de 75 000 attaques dans 99 pays », a noté Jakub Kroustek, de la firme de sécurité informatique Avast, sur un blog. Forcepoint Security Labs, autre entreprise de sécurité informatique, évoque de son côté « une campagne majeure de diffusion d’emails infectés », avec quelque 5 millions d’emails envoyés chaque heure répandant le logiciel malveillant appelé WCry, WannaCry, WanaCrypt0r, WannaCrypt ou Wana Decrypt0r.

If @NSAGov had privately disclosed the flaw used to attack hospitals when they *found* it, not when they lost it, t… https://t.co/XPdFZPzDmE — Snowden (@Edward Snowden)

« Si la NSA avait discuté en privé de cette faille utilisée pour attaquer des hôpitaux quand ils l’ont “découverte”, plutôt que quand elle leur a été volée, ça aurait pu être évité », a regretté sur Twitter Edward Snowden, l’ancien consultant de l’agence de sécurité américaine qui avait dévoilé l’ampleur de la surveillance de la NSA en 2013.

300 dollars de rançon

Ces attaques informatiques ont notamment touché le service public de santé britannique, comme l’a dénoncé la première ministre britannique, Theresa May, lors d’une intervention télévisée. L’attaque a visé simultanément seize entités dépendant du National Health Service (NHS – la Sécurité sociale britannique), a écrit l’organisme dans un communiqué. L’utilisation de leurs ordinateurs a été perturbée, les obligeant à refuser des patients en urgence.

Selon le NHS, le logiciel en cause pourrait être une variante de Wanna Decryptor, tout en avertissant que l’enquête technique débutait tout juste. « A ce stade de l’enquête, nous ne disposons pas de preuve que les données de patients ont été compromises », écrit également le NHS. « Nous avons activé le Centre national de cybersécurité et ils travaillent avec les organisations du NHS touchées pour s’assurer qu’elles sont aidées et que la sécurité des patients est garantie », a ajouté Theresa May.

Le logiciel demande 300 dollars en l’échange du déchiffrement des fichiers. Un journaliste britannique spécialisé a partagé sur Twitter le message s’affichant sur les ordinateurs touchés. « Oups, vos fichiers ont été chiffrés », peut-on y lire à côté de deux comptes à rebours décomptant le temps restant avant la « perte », faute de paiement, des fichiers chiffrés.

Here's the malware attack which appears to have hit NHS hospitals right across England today https://t.co/zIAJ6wbAG5 — LawrenceDunhill (@Lawrence Dunhill)

Un des groupements d’hôpitaux touché a annoncé « repousser toutes les activités non urgentes ». En 2016, quatre hôpitaux britanniques avaient déjà été paralysés durant plusieurs jours par des rançongiciels.

Lire aussi Des hôpitaux britanniques paralysés plusieurs jours par un virus informatique

Des cas similaires dans le monde entier

« Cela ne vise pas le NHS, c’est une attaque internationale et plusieurs pays et organisations ont été touchés », a déclaré la première ministre Theresa May. Cette vague de rançongiciels semble en effet dépasser les seuls hôpitaux britanniques. Des organisations en Espagne, en Australie, en Belgique, en France, en Allemagne, en Italie et au Mexique ont également été touchées selon des analystes. Aux Etats-Unis, le géant de livraison de colis FedEx a reconnu avoir lui aussi été infecté. Le ministère de l’intérieur russe a également annoncé avoir été touché par un virus informatique vendredi, même s’il n’a pas été précisé s’il s’agit bien de la même attaque.

Par ailleurs, un chercheur de l’entreprise de sécurité informatique Avaast dit que sa société a détecté cette après-midi un très grand nombre de virus identiques dans le monde entier, principalement en Russie, en Ukraine et à Taïwan. Selon l’entreprise spécialisée en sécurité informatique, au moins 45 000 tentatives d’infections ont été repérées dans environ 74 pays.

Selon le quotidien espagnol El Mundo, environ 85 % des ordinateurs appartenant à Telefonica ont été touchés par ce virus, qui demande ici une rançon en bitcoins (célèbre monnaie dématérialisée) équivalant à 300 dollars. Certains employés ont été renvoyés chez eux, étant dans l’incapacité de travailler.

Le Centre cryptologique national (CCN) – division des services de renseignements chargée de la sécurité informatique – a évoqué l’implication d’un virus connu sous le nom WannaCry. D’autres entreprises espagnoles, comme Iberdrola et Gas Natural, ont demandé à certains de leurs employés d’éteindre leurs ordinateurs, explique El Mundo, sans déterminer s’il s’agissait de mesures préventives ou du résultat d’une attaque.

Le Monde