Huit questions pas si bêtes sur la cyberattaque Petrwrap qui fait trembler le monde

Les victimes se comptent par milliers. Une nouvelle cyberattaque mondiale a semé la panique, mardi 27 juin. Mercredi 28 juin, la menace semble contenue. Mais un mois et demi après que le virus informatique WannaCry a infecté des centaines de milliers d'ordinateurs dans le monde, cette nouvelle action cybercriminelle de grande ampleur soulève plusieurs questions.

D'abord, c'est quoi au juste cette nouvelle cyberattaque ?

Un virus informatique a commencé à se répandre à la surface du globe, mardi. L'attaque a débuté en Europe orientale. L'Ukraine est le pays le plus touché, suivi par la Russie, et, dans une moindre mesure, la Pologne et l'Italie, mais aussi la France et les Etats-Unis.

Le virus qui se propage est un ransomware (un rançongiciel, en français), comme le virus WannaCry. Ce virus a été baptisé Petrwrap. Certains experts estiment qu'il s'agit d'une version modifiée d'un précédent ransomware, Petya, qui avait frappé il y a un an. D'autres, comme le russe Kaspersky, jugent que Petrwrap est un nouveau type de virus.

"D'un seul coup, votre PC s'arrête. Quand il redémarre, vous avez un écran noir, avec du texte en rouge, qui vous informe que votre machine a été bloquée, que vos données ont été chiffrées, qu'elles sont inaccessibles, et qu'on vous demande de payer une rançon" de 300 dollars en bitcoin, une monnaie virtuelle, pour débloquer l'ordinateur, explique à franceinfo Gérôme Billois, expert en cybersécurité.

Very scary. Screenshot of the Petya ransomware message displayed on infected systems. More: https://t.co/2YQn45nrge via @newscomauHQ pic.twitter.com/8hwoJg2hpB

— Matt Young (@MattYoung) 28 juin 2017

Plusieurs multinationales ont été affectée : le pétrolier russe Rosneft, le laboratoire pharmaceutique américain Merck, le transporteur maritime danois Maersk, le géant britannique de la publicité WPP, l'industriel français Saint-Gobain...

On sait d'où vient cette attaque informatique ?

Non, les experts en sécurité informatique ont des soupçons, mais aucune certitude. "Les bons attaquants savent masquer leurs traces. Ils savent jouer en laissant de faux indices et en envoyant sur de fausses pistes. Comme on est sur internet, on n'a pas de preuves physiques de la localisation des différentes personnes", expose le spécialiste Gérôme Billois, expert en cybersécurité du cabinet Wavestone, joint par franceinfo.

Il existe toutefois des foyers de cybercriminalité. "Des cybercriminels mafieux opèrent notamment en Europe de l'Est. Ceux d'Afrique du Nord et d'Afrique centrale pratiquent plutôt la fraude et l'arnaque par e-mail", indique Gérôme Billois. Des Etats pratiquent également la piraterie informatique. "Avec beaucoup de conditionnel, on peut citer la Corée du Nord, la Russie, la Chine, les Etats-Unis voire la France, qui savent utiliser le 'cyber' à certains moments à des fins d'espionnage ou de sécurité nationale."

Pourquoi la NSA est encore mise en cause ? 

Petrwrap cible les machines qui utilisent le système d'exploitation Windows de Microsoft, dont les différentes versions équipent environ 90 % des ordinateurs de bureau. Une fois installé sur une machine, Petrwrap se propage aux autres ordinateurs en utilisant notamment une faille du protocole SMB (Server Message Block), utilisé par Windows pour relier des ordinateurs et des imprimantes entre elles.

Cette vulnérabilité, baptisée EternalBlue (bleu éternel), avait déjà été exploitée en mai par le rançongiciel Wannacry. Microsoft avait repéré et corrigé cette faille dans une mise à jour de sécurité déployée en mars, mais tous les utilisateurs de Windows n'avaient pas appliqué le correctif, permettant à Wannacry de mettre à genoux plusieurs centaines de milliers d'ordinateurs dans le monde.

La NSA (Agence nationale de la sécurité américaine) est à nouveau pointée du doigt, notamment par le lanceur d'alerte Edward Snowden, parce qu'elle est à l'origine de la découverte d'EternalBlue. Mais plutôt que de prévenir Microsoft de sa dangerosité, la prestigieuse agence de renseignement américaine avait exploité cette vulnérabilité pour ses activités d'espionnage et de piratage. 

L'affaire aurait pu rester confidentielle si les services secrets américains n'avaient pas été victimes d'une fuite de documents, dont certains concernaient EternalBlue, en avril dernier. Rendue publique, cette faille n'a pas tardé à être exploitée par des groupes de pirates malveillants.

Jusqu'où ces attaques peuvent-elles aller ?

Ces cyberattaques ont déjà eu des conséquences importantes. Le virus WannaCry a provoqué la paralysie d'une partie du système de santé britannique, en obligeant notamment des hôpitaux a reporter des opérations. Plusieurs usines du groupe Renault ont également dû être mises à l'arrêt. Et parmi les conséquences du virus Petrwrap, on peut notamment citer la centrale nucléaire ukrainienne de Tchernobyl, là où s'était produite en avril 1986 la pire catastrophe nucléaire civile de l'histoire, qui a été contrainte de revenir à des mesures manuelles du niveau de radioactivité. Les écrans d'information de l'aéroport de Kiev ont été bloqués. Les banques ukrainiennes infectées ont dû cesser certaines opérations.

Mais ce sont là les "effets induits" et non leur "finalité première" de ces attaques criminelles dont "le but est de gagner de l'argent", fait observer Gérôme Billois. "Ce que les Etats craignent, ce sont des attaques qui cherchent à faire des victimes bien réelles en provoquant des accidents dans la production ou la distribution d'énergie ou dans les transports terrestres ou aériens. Les Etats essaient donc de s'en prémunir avec des textes de loi et des actions concrètes en préparation."

Pourquoi de grandes entreprises continuent-elles à se faire avoir par ces virus ?

Microsoft a pris les devants face à la menace en déployant une mise à jour de sécurité pour les versions de Windows concernées par la faille EternalBlue. Mais là où un particulier n'a besoin que de deux clics pour protéger son système, les entreprises de grande taille sont beaucoup moins réactives, comme l'explique à franceinfo Gérôme Billois.

"La grande difficulté, c'est que les mises à jour, dans les entreprises en particulier, nécessitent de la réflexion : quel système met-on à jour, et quand ?" indique le spécialiste, qui dénonce "un sous-investissement sur la cybersécurité dans beaucoup d'entreprises". 

Par exemple, si vous avez un système de conduite d'un train, des systèmes médicaux, ou des systèmes industriels, vous ne pouvez pas les arrêter n'importe quand.

Gérôme Billois

à franceinfo

Une affaire avait parfaitement incarné ce manque d'agilité numérique dans des secteurs de l'économie pourtant cruciaux. En novembre 2015, une panne informatique avait complètement paralysé le trafic de l'aéroport d'Orly pendant plus d'une demie-heure. Le Canard enchaîné avait révélé que le dysfonctionnement concernait un programme utilisé par l'aéroport pour surveiller les conditions météo et qui fonctionnait sous Windows 3.1, un système d'exploitation sorti en 1992. Le ministère des Transports avait alors indiqué qu'une "modernisation des équipements [était] prévue pour 2017".

Et moi, je peux être directement concerné ?

Oui, surtout si utilisez Windows et que vous n'avez pas effectué les mises à jour de sécurité. Mais heureusement, il est fort probable que vous soyez protégé sans le savoir contre la diffusion de Petrwrap par le biais de la fameuse faille EternalBlue évoquée plus haut grâce à votre box internet.

En effet, aucun fournisseur d'accès à internet français ne propose à ses clients de box fonctionnant sous Windows. Or, comme nous l'expliquions en mai au sujet de WannaCry, ce boîtier est souvent le seul point d'entrée des pirates dans les réseaux domestiques.

La plupart des box internet sont en effet équipées d'une fonction dite de NAT (Network Address Translation, ou traduction d'adresse réseau), qui n'est pas à proprement parler un mécanisme de sécurité mais qui offre une protection bienvenue face à la faille EternalBlue. Grâce à cette fonctionnalité, seule votre box dispose d'une adresse IP publique et visible sur internet : les autres appareils qui y sont connectés n'ont qu'une adresse IP privée, et transitent par la box pour accéder à internet.

Ainsi, lorsque Petrwrap cherche de nouvelles machines à infecter, les adresses IP des ordinateurs des particuliers dotés d'une installation traditionnelle n'apparaissent pas dans son radar. Le rançongiciel peut bien tenter de s'attaquer aux box, l'opération est vaine : ne fonctionnant pas avec Windows, elles ne permettent pas au virus de s'introduire dans le réseau interne au foyer, et de s'en prendre aux autres machines qui y sont reliées.

Qu'est-ce que je peux faire pour être sûr d'être protégé ?

"Si on a fait les mises à jour correctes, avec les patchs et les antivirus à jour, normalement, on n'est pas touché", assure à franceinfo Julien Champigny, directeur commercial de NES, une société de service spécialisée dans la cybersécurité. Lors de l'attaque WannaCry, en mai, Europol avait donné quelques conseils simples mais efficaces (en anglais). Un hacker repenti contacté par franceinfo prodiguait également ses recommandations.

What is #ransomware? Find out more about how you can prevent and report it: https://t.co/3HIV2MNttQ. #NoMoreRansom #NeverPay @EC3Europol pic.twitter.com/ey8I0K8NpP

— Europol (@Europol) 13 mai 2017

D'abord, mettre à jour ses logiciels régulièrement, à commencer par son système d'exploitation et son navigateur internet, pour s'assurer de disposer des dernières mises à jour de sécurité. Ensuite, utiliser un antivirus et un pare-feu, afin d'empêcher les virus et logiciels malveillants de s'installer sur votre ordinateur. Beaucoup de ces antivirus et pare-feux sont gratuits.

Quand on navigue sur internet, ne pas cliquer sur les fenêtres, bannières et publicités qui apparaissent intempestivement. Et quand on consulte ses e-mails, ne pas ouvrir les courriers de correspondants inconnus, et encore moins les pièces jointes suspectes. Enfin, ne télécharger et n'utiliser que des logiciels provenant de sites internet sûrs, et certainement pas des versions piratées. 

Et si mon ordinateur est quand même infecté, qu'est-ce que je fais ? 

Surtout, pas de panique. "La première chose [à faire] est d'isoler complètement les ordinateurs infectés et de les enlever des réseaux" pour que le virus ne se propage pas et ne fasse pas encore plus de dégâts à d'autres ordinateurs, indique à franceinfo Julien Champigny, directeur commercial de NES, une société de service spécialisée dans la cybersécurité. 

Ensuite, soit vous réinstaller toute votre machine, en tirant un trait sur vos données. Ou, si vous souhaitez les récupérer, il faut être patient. Les experts en cybersécurité du monde entier ont planché sur le virus WannaCry, lors de la précédente attaque de grande ampleur, et ils sont parvenus à trouver une parade permettant de déverrouiller les ordinateurs, voire de récupérer des données perdues, indique Mac génération. Si vous ne vous sentez pas capables de vous en occuper seul, des entreprises spécialisées peuvent vous aider.

"Mais surtout : ne payez pas" la rançon, prévient l'expert. "D'abord, cela entretient le système. Et même si vous payez, les statistiques montrent qu'il y a une chance sur dix de récupérer les données : ça ne sert pas à grand-chose. C'est pour ça que les rançons ne sont pas très élevées. C'est pour inciter les gens à payer. Mais cela ne va pas permettre de récupérer vos informations."