Ce que l'on sait (et ce que l'on ne sait pas) sur la nouvelle cyberattaque mondiale

Un mois après la vague de cyberattaques liée au virus WannaCry, un nouveau virus a frappé des ordinateurs, des entreprises et des institutions du monde entier, mardi 27 juin. Parti d'Ukraine, ce virus aux multiples noms, à l'origine encore floue, a un fonctionnement proche de son prédécesseur : il s'agit d'un rançongiciel, qui bloque l'accès aux fichiers d'un ordinateur et commande aux utilisateurs de payer une somme d'argent pour y avoir à nouveau accès.

Si l'attaque est de moindre ampleur, elle a touché des groupes français comme Saint-Gobain et la BNP, ou encore des institutions, principalement en Ukraine, où les systèmes informatiques du site de Tchernobyl ont été mis hors d'usage. Franceinfo vous explique ce que l'on sait et ce qui reste incertain au sujet de ce virus.

Ce que l'on sait

Le virus est un rançongiciel. Plusieurs entreprises ciblées font état d'un virus faisant apparaître une demande de rançon de 300 dollars en monnaie virtuelle sur l'écran de leurs ordinateurs. Il empêche d'accéder au disque dur de l'ordinateur. Il peut notamment se transmettre par l'ouverture d'une pièce jointe dans un mail.

Il utilise une faille de Windows. Microsoft a expliqué que cette cyberattaque utilisait "plusieurs techniques pour se propager", dont une faille de Windows. Le groupe a expliqué qu'il avait déjà diffusé un correctif à cette faille, surnommée Eternal Blue, qui avait déjà été exploitée par le virus WannaCry qui s'était répandu en mai. Cette faille est connue depuis qu'elle a été révélée par un groupe de hackers, les ShadowBrokers, qui ont piraté la NSA, l'une des agences de renseignements américaines, et dévoilé certaines des failles de sécurité utilisées par ses agents.

L'attaque touche des entreprises du monde entier. Selon l'entreprise russe de cybersécurité Kaspersky Labs, plus de 2 000 utilisateurs ont été touchés. L'essentiel se trouve en Russie et en Ukraine : l'aéroport de Kiev est touché et les employés du site de Tchernobyl ont dû contrôler la radioactivité eux-même en l'absence d'ordinateurs. Le pétrolier russe Rosneft, le transporteur maritime danois Maersk, le laboratoire pharmaceutique américain Merck et le géant publicitaire britannique WPP, figurent aussi parmi les victimes de l'attaque. En France, l'industriel français Saint-Gobain, Auchan, la SNCF et une filiale de BNP Paribas, BNP Paribas Real Estate, ont indiqué avoir été attaqués.

Elle a des conséquences limitées. Les entreprises touchées ne font pas état de dommages importants. Ainsi, Saint-Gobain assure que ses lignes de productions et ses clients ne sont pas affectés et expliquait mercredi que la situation revenait progressivement à la normale. La SNCF, elle, assure avoir été "attaquée mais pas touchée", le virus n'ayant pas perturbé son fonctionnement. 

Les experts en sécurité informatique tablent toutefois sur des conséquences moins graves que le 12 mai, faisant observer que nombre d'entités ont intégré depuis des correctifs de sécurité via les mises à jour proposées par Microsoft pour protéger leurs ordinateurs.

Comment s'en protéger ou s'en débarrasser. Bien sûr, le premier réflexe est de mettre à jour sa version de Windows, de ne pas ouvrir de pièces jointes provenant d'expéditeurs inconnus et, si on est infecté, de ne pas payer de rançon. L'Agence nationale de la sécurité des systèmes d'information (Anssi) a publié des conseils plus techniques pour ne pas être contaminé ou pour se débarrasser du virus.

Ce que l'on ne sait pas

De quel virus il s'agit vraiment. Les experts de la sécurité informatique mettent avant des pistes, mais tous ne sont pas d'accord. De nombreux spécialistes le décrivent comme une nouvelle version, plus avancée, d'un virus dénommé Petya, déjà à l'œuvre l'année dernière, comme l'écrit Microsoft sur son site. Ce que dément l'entreprise russe Kaspersky Labs, pour qui il s'agit bien d'un nouveau type de virus.

Comment s'est propagée l'attaque. Le cheminement du virus n'est pas encore certain. Mais, selon Windows, qui cite plusieurs spécialistes, il pourrait avoir d'abord visé l'entreprise ukrainienne M.E.Doc, qui développe des logiciels de comptabilité, et s'être propagé via le système de mise à jour de ces logiciels. Mais l'entreprise assure, elle, qu'elle n'est pas à l'origine de la propagation du virus.

Quelle est la motivation des pirates. Le fait que le virus soit un rançongiciel laisse penser que les motivations de cette cyberattaque sont financières. Mais un expert de la société spécialisée BitDefender, Catalin Cosoi, estime que ses auteurs "ne voulaient pas gagner de l'argent, mais détruire des données". Selon lui, il existerait d'autres moyens qui leur auraient permis de gager "plus d'argent, de manière plus facile et bien plus efficace" si tel était l'objectif. Il note que les premières cibles de l'attaque n'étaient pas des entreprises, mais des "infrastructures critiques en Ukraine". Nuire au pays pourrait être un autre motif.

Combien de victimes ont payé. Selon le New York Times, des experts en sécurité informatique ont retrouvé la trace de l'adresse BitCoin utilisée par les pirates pour récolter les rançons. Selon eux, plus de 9 000 dollars ont été versés. Mais, même en payant, les utilisateurs pourraient ne pas avoir récupéré l'accès à leur disque dur. En effet, l'adresse mail via laquelle devaient être envoyées les codes permettant de se débarrasser du virus a été suspendue.