Nouvelle cyberattaque mondiale : "On est face à une menace qui n'est pas près de s'arrêter parce qu'elle est très lucrative"

En Ukraine, en Russie et au-delà... Chez le géant danois du transport maritime Maersk, chez le groupe français de matériaux de construction Saint-Gobain... Une nouvelle cyberattaque mondiale se propage à la surface du globe, mardi 27 juin. Un mois et demi après le virus WannaCry qui avait contaminé des centaines de milliers d'ordinateurs, un nouveau rançongiciel ("ransomware" en anglais) bloque les terminaux informatiques, exigeant le versement d'une rançon pour les débloquer. Le logiciel pirate serait Petrwrap, une version modifiée de Petya, qui avait déjà sévi il y a un an.

Pour tirer les premiers enseignements de cette nouvelle attaque informatique massive, franceinfo a interrogé Gérôme Billois, expert en cybersécurité chez Wavestone. 

Franceinfo : Va-t-on vers une augmentation des attaques informatiques par "ransomware" ?

Gérôme Billois : On est face à une problématique simple : les cybercriminels gagnent de l'argent avec les attaques qu'ils réalisent et une des attaques les plus rentables, c'est justement le "ransomware". Les pirates ont des retours sur investissement qui frôlent les 1000% sur certaines attaques. Car malheureusement, même si les personnes touchées ne paient pas toute la rançon demandée par les pirates pour débloquer leur ordinateur, celles qui le font alimentent ce cercle vicieux d'attaques. Clairement, on est face à une menace qui n'est pas près de s'arrêter parce qu'elle est très lucrative.

La cible des auteurs de l'attaque n'est pas définie, mais diffuse. Elle vise un maximum d'utilisateurs vulnérables dans le monde. Sans discrimination. Particuliers, entreprises comme services publics. Le code d'attaque agit comme le virus de la grippe. Si une personne grippée tousse ou éternue dans le métro, elle peut vous contaminer, même si elle ne l'a pas choisi.

Les pirates informatiques choisissent-ils de mener des attaques par rançongiciel parce qu'elles sont faciles à réaliser ?

Il y a des efforts importants à faire pour construire un "ransomware" "efficace". Ce n'est pas à la portée du premier venu. Il faut déjà construire un outil d'attaque capable de franchir les défenses basiques des ordinateurs, puis mettre en place tout le système qui va permettre de gérer le chiffrement et le déchiffrement. Et il faut que ce soit bien fait, parce que sinon, c'est assez facile à contrer. 

Mais par rapport à toutes les autres cyberattaques, c'est la plus rentable. Si vous volez des numéros de carte bancaire ou des données personnelles, vous pouvez les revendre et générer encore plus de gain. Mais c'est un processus un peu long et pas toujours fiable, qui dépend des acheteurs. Et quand vous faites des attaques destructrices, dans lesquelles vous détruisez des ordinateurs ou capturez des données et les révélez sur internet, vous ne gagnez pas d'argent. Votre motivation n'est pas d'ordre financier.

L'attaque par "ransomware" est donc bien criminelle et pas terroriste ?

Il faut distinguer la finalité première de l'attaquant et les effets induits par son attaque. Ici, le but est de gagner de l'argent. Les pirates informatiques vont donc cibler un maximum d'ordinateurs partout dans le monde pour les bloquer et réclamer de l'argent. Ça, c'est la logique du groupe mafieux, qui a fabriqué un "ransomware" plutôt efficace : beaucoup d'entreprises sont touchées, et pas uniquement des particuliers. Mais ce n'est pas la volonté d'un cybercriminel à tendance mafieuse de bloquer le fonctionnement d'un Etat.

A l'inverse, l'objectif du terrorisme est de casser, de détruire... Une attaque informatique terroriste viserait donc les systèmes essentiels et arrêterait la distribution d'électricité ou les transports par exemple. Des groupes terroristes pourraient à la rigueur faire des "ransomwares" pour se financer. Mais ce qu'on observe à l'heure actuelle, ce sont plutôt des groupes criminels, liés à la mafia, motivés par l'appât du gain. 

D'où viennent ces cyberattaques ? 

C'est extrêmement difficile à dire. Les bons attaquants savent masquer leurs traces. Ils savent jouer en laissant de faux indices et en envoyant sur de fausses pistes. Comme on est sur internet, on n'a pas de preuves physiques de la localisation des différentes personnes. 

Mais on sait qu'il y a quand même des foyers. Des cybercriminels mafieux opèrent notamment en Europe de l'Est. Ceux d'Afrique du Nord et d'Afrique centrale pratiquent plutôt la fraude et l'arnaque par e-mail. On a aussi des Etats connus pour être potentiellement belliqueux sur internet. Avec beaucoup de conditionnel, on peut citer la Corée du Nord, la Russie, la Chine, les Etats-Unis voire la France, qui savent utiliser le "cyber" à certains moments à des fins d'espionnage ou de sécurité nationale.

Quel serait, selon vous, le scénario catastrophe futur ?

Ce qui fait peur aux Etats – et qui est probable – c'est que des groupes d'attaquants terroristes aux motivations politiques, liés ou non à des Etats, cherchent à les déstabiliser en s'attaquant à leurs infrastructures critiques. Si un simple "ransomware" peut arrêter des hôpitaux au Royaume-Uni et des entreprises en Europe, cela veut dire que des hackers terroristes ou liés à des Etats peuvent y arriver.

Aujourd'hui, on voit des attaques qui interrompent les services, dans les transports ou les hôpitaux, mais ne mettent pas directement en danger la vie des personnes. Ce que les Etats craignent, ce sont des attaques qui cherchent à faire des victimes bien réelles en provoquant des accidents dans la production ou la distribution d'énergie ou dans les transports terrestres ou aériens. Les Etats essaient donc de s'en prémunir avec des textes de loi et des actions concrètes en préparation.