C’est une véritable pandémie qui est en train de se propager dans le monde entier. Depuis mardi 27 juin, une vague de cyberattaques sans précédent s’est déployée dans le monde entier, infectant plus de 2.000 réseaux d’entreprises et d’institutions. Ce ransomware nommé Petrwrap prendrait sa source en Ukraine et en Russie. Le point sur l’étendue des dégâts.
La souche du virus proviendrait d’Ukraine et de Russie
C’est à partir d’ordinateurs en Ukraine et en Russie que l’épidémie se serait propagée. En Ukraine, qui serait l’épicentre de cette vague, les attaques ont été les plus nombreuses. La première victime étant une entreprise éditrice de logiciels de comptabilité nommée MeDoc, selon la société Cisco Telos. Laquelle aurait ensuite contaminé ses différents clients en leur envoyant des dossiers infectés. Rapidement, l’épidémie s’est propagée paralysant le site du gouvernement ukrainien ainsi que celui de la centrale nucléaire de Tchernobyl qui avait explosé le 26 avril 1986. De quoi donner froid dans le dos… Parmi la longue liste des victimes, de nombreuses banques ou encore le métro de Kiev où les passagers ne peuvent désormais plus acheter de tickets. Idem dans les aéroports où les panneaux d’affichage ne s’allument plus. Le Premier ministre ukrainien, Volodymyr Groïsman, a ainsi évoqué une attaque « sans précédent ». Du côté de la Russie, suspectée par le Conseil de sécurité ukrainien d’être à l’origine de ce virus, les dégâts sont également très importants : des banques sont infectées mais aussi plus de 80 grandes entreprises dont le géant pétrolier Rosneft.
Un déferlement sans précédent dans le monde
Avec une rapidité déconcertante, l’épidémie s’est ensuite propagée dans le monde entier, gagnant l’Europe puis les États-Unis. Rien qu’en France, des mastodontes tels que le verrier Saint-Gobain, la MAIF ou encore Auchan n’ont pas été épargnés. Quant au reste du monde, la liste des victimes a de quoi faire frémir. À commencer par le géant britannique de la publicité WPP ou encore le leader danois du transport maritime Maersk. Sans compter la très célèbre marque de cosmétique Nivea dans laquelle « plus rien ne fonctionnerait au siège », selon sa maison-mère, le groupe Beiersdorf. Outre-Atlantique, le géant pharmaceutique Merck a également été contaminé ainsi qu’une usine de chocolat en Australie appartenant au groupe britannique Cadbury selon »The Guardian ». En Asie, l’épidémie commence également à poindre. En témoigne Zheng Wenbin, ingénieur pour l’entreprise de sécurité Qihoo 360, qui a déclaré à Bloomberg que « des signes montrent que le virus a commencé à se répandre en Chine. »
Même modus operandi que WannaCry
Ce mode opératoire rappelle sans conteste celui du ransomware WannaCry qui avait déjà secoué la Toile en mai dernier, infectant quelques 300.000 ordinateurs dans le monde. Déjà de nombreux éditeurs avaient mis en garde contre l’arrivée prochaine d’un virus encore plus puissant. Il faut croire que le rêve de Cassandre s’est donc réalisé. Tout comme son prédécesseur chinois, ce virus est un ransomware dont le but est de prendre en otage des fichiers ou données et de réclamer une rançon contre leur clef de décryptage. Autre similitude, ce virus exploite lui aussi une faille de sécurité de Windows, le célèbre système d’exploitation de Microsoft afin de s’introduire dans l’ordinateur. Une information que le géant de Redmond a d’ailleurs confirmée mardi soir. Découverte par un groupe de hackers nommé Shadowbrokers, cette faille aurait été à l’origine utilisée par l’outil EternalBlue de la national Security Agency (NSA). Elle aurait, depuis, été l’objet de corrections de Microsoft. Ce qui apparemment n’a pas suffi.
Débat sur l’identité du virus
Quant à l’identité de ce rançongiciel, il y a des divergences. D’une part, certains spécialistes estiment que ce virus, Petrwrap, serait en réalité une version améliorée du ransomware Petya qui avait déjà sévi au printemps 2016. D’autre part, la société russe experte en cybersécurité Kaspersky affirme quant à elle qu’il s’agit « d’un nouveau ransomware, qui n’a jamais été vu jusqu’ici » qu’elle aurait donc baptisé en retour « NoPetya » dans un communiqué fraîchement publié.
Ségolène Kahn
Commentez