La France a-t-elle été épargnée par la cyberattaque mondiale ?

Opérations chirurgicales non vitales reportées au Royaume-Uni, systèmes d'affichage des heures d'arrivée des trains perturbés en Allemagne, réseau interne du géant téléphonique espagnol Telefonica en panne... Le "rançongiciel" WannaCry, qui s'est répandu vendredi 12 mai, a eu des effets dévastateurs dans de nombreux pays.

Ce logiciel malveillant cible les ordinateurs qui utilisent une version du système d'exploitation Windows non mise à jour, et bloque leur fonctionnement en chiffrant les fichiers présents sur le disque dur. Mais à part l'arrêt, lundi 15 mai, de la production de l'usine Renault de Douai (Nord), la France semble avoir miraculeusement échappé à WannaCry. Notre pays a-t-il été vraiment épargné ? Eléments de réponse.

Oui : aucune administration ni grande entreprise n'a été complètement paralysée

Samedi, au lendemain du déclenchement à distance de WannaCry, Guillaume Poupard affichait un certain optimisme. Dans les colonnes du Monde, le directeur de l'Agence nationale de la sécurité des systèmes d'information (Anssi) indiquait qu'"à ce stade, les services de l'Etat [n'étaient] pas touchés". Il précisait encore que les administrations françaises avaient été "purgées" de Windows XP, une version ancienne du système d'exploitation que le "rançongiciel" semble cibler particulièrement.

Interrogé le surlendemain par Libération, Guillaume Poupard ajoutait tout de même avoir été contacté par des entreprises mises en difficultés par le logiciel malveillant. Mais il précisait qu'il ne s'agissait "pas formellement d'opérateurs d'importance vitale", ces entreprises qui opèrent dans un secteur d'activité jugé sensible.

Contacté par franceinfo, Gerome Billois, expert en cybersécurité du cabinet Wavestone, préfère rester prudent. "Il est difficile d'évaluer le nombre d'incidents qui ont eu lieu. On pourrait penser que les assureurs pourraient révéler des chiffres, mais les assurances en matière de cybersécurité sont assez récentes, et peu d'entreprises y ont pour le moment souscrit", indique l'expert.

Outre Renault, le chiffre d'une dizaine de grosses et moyennes structures françaises touchées par WannaCry semble cohérent.

Gerome Billois

à franceinfo

L'expert indique que son cabinet, qui conseille plusieurs grandes entreprises en matière de sécurité informatique, a dû envoyer "en urgence" plusieurs employés chez ses clients partiellement touchés durant le week-end. 

Oui, car les ménages ont une protection qu'ils ignorent

Conçu pour contaminer le plus de machines possible, WannaCry n'a pas fait de fleur aux internautes français. "Il n'y a aucune logique de ciblage dans le code de ce 'rançongiciel', que ce soit envers un pays ou un secteur d'activité particulier : WannaCry tape au large et cible toutes les machines vulnérables", rappelle Gerome Billois.

L'expert ajoute que les ménages français peuvent remercier les box prêtées par la plupart des fournisseurs d'accès à internet, qui ont agi comme une sorte de rempart contre WannaCry. Ce logiciel malveillant est en effet particulièrement dévastateur car il se répand d'une machine à l'autre en exploitant une vulnérabilité du protocole SMB (Server Message Block), utilisé par Windows pour relier des ordinateurs et des imprimantes entre eux.

Or, aucun opérateur français ne propose à ses clients de box fonctionnant sous Windows, qui est souvent le seul point d'entrée des pirates dans les réseaux domestiques. La plupart des box internet sont en effet équipées d'une fonction dite de NAT (Network Address Translation, ou traduction d'adresse réseau). Grâce à cette fonctionnalité, seule la box dispose d'une adresse IP publique et visible sur internet : les autres appareils qui y sont connectés n'ont qu'une adresse IP privée, et transitent par la box pour accéder à internet.

Ainsi, lorsque WannaCry cherchait de nouvelles machines à infecter, les adresses IP des ordinateurs des particuliers dotés d'une installation traditionnelle n'apparaissaient pas. Le "rançongiciel" pouvait bien essayer de s'attaquer aux box, l'opération était vaine : ne fonctionnant pas avec Windows, elles ne permettaient pas à WannaCry de s'introduire dans le réseau interne au foyer, et de s'en prendre aux ordinateurs personnels des ménages.

Fait amusant, le NAT n'est pas à proprement parler un dispositif créé dans un objectif de sûreté. "A la base, le NAT est une réponse technologique au problème de la limitation du nombre d'adresses IP disponibles dans le monde", explique à franceinfo Gerome Billois. "Mais c'est également une réponse sécuritaire, qui permet d'empêcher les flux indésirables de rentrer sur les réseaux internes."

Non, car les victimes se font discrètes

Au lendemain de l'activation de WannaCry, le New York Times a réalisé une carte du monde animée montrant la vitesse de propagation du logiciel malveillant. 

Animated map of how tens of thousands of computers were infected with ransomware https://t.co/djYQTYjS8u pic.twitter.com/I1kAjAWEqn

— The New York Times (@nytimes) 13 mai 2017

Un simple coup d'œil à la grande tache jaune qui remplit l'Hexagone montre que la France a bien été touchée par le logiciel malveillant. Mais les victimes, en particulier les entreprises, ont peu d'intérêt à se faire connaître. 

"Porter plainte dans ce genre d'affaires est assez inefficace, car il est compliqué de remonter jusqu'à l'auteur des faits, juge Gerome Billois. Et les entreprises n'ont aucune envie de communiquer sur ce type de sujet : il n'est jamais positif pour l'image d'une marque de s'afficher comme victime d'une attaque informatique".

Le sujet semble en effet sensible. Contactés par franceinfo pour obtenir des informations concernant le fonctionnement de leurs box internet, les opérateurs Orange et SFR se sont empressés d'annoncer ne pas avoir été concernés par WannaCry, à la différence de l'Espagnol Telefonica.

Non, car WannaCry peut encore évoluer

Conçu pour se propager à toute vitesse grâce à une faille d'abord exploitée par les services de renseignement américains, WannaCry a été stoppé dans son processus destructeur grâce à l'intervention d'un chercheur en cybersécurité britannique.

"Le code de WannaCry était conçu de telle sorte qu'avant de s'activer, le 'rançongiciel' contactait un site internet qui n'était pas en ligne. Si ce site ne répondait pas, le programme continuait à se propager", explique Gerome Billois. Le chercheur britannique a donc enregistré le site en question et arrêté l'hémorragie. 

Depuis, d'autres versions du "rançongiciel" sont apparues. "Mais à chaque fois, le même système de 'killswitch', qui permettait de stopper net sa propagation, était utilisé. Cela défie toute logique, car ce mécanisme n'est pas indispensable !", s'interroge l'expert.

Le patron de l'Anssi, Guillaume Poupard, dit d'ailleurs à Libération redouter "de nouvelles versions (...) qui corrigent cette 'faiblesse'." "Il y aura des répliques au fil de la semaine, voire au fil des mois", prévient-il.