Plusieurs attaques informatiques ont affecté des entreprises et services dans une douzaine de pays, dont la Grande-Bretagne et l’Espagne. Les pirates auraient profité d’un outil de la NSA.
Des attaques informatiques ont eu lieu ce vendredi dans une douzaine de pays, en Europe et en Asie, selon le « New York Times », qui rapporte que les pirates auraient utilisé une vulnérabilité découverte et exploitée par la NSA.
Parmi les pays affectés figurent la Grande-Bretagne, l’Espagne, la Turquie, la Russie, le Vietnam, les Philippines, le Japon. A chaque fois, indique le quotidien, les ordinateurs sont victimes de ce que l’on appelle ransomware, un blocage des données et la demande au propriétaire de l’appareil d’une rançon en échange d’une clé de décodage. La demande aurait été de 300 dollars environ pour le déblocage.
En France, l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a lancé aujourd’hui une alerte et constate l’apparition d’un « logiciel malveillant de type rançongiciel », qui peut affecter « tous les systèmes d’exploitations Windows ».
Theresa May : « Attaque internationale »
La Première ministre britannique Theresa May a déclaré ce vendredi soir que la cyberattaque contre le service public de santé (NHS) était « une attaque internationale » touchant « plusieurs pays et organisations ».
Selon les analystes de Forcepoint Security Labs cités par l’AFP, l’attaque serait de « portée mondiale » et toucherait des organisations en Australie, en Belgique, en France, en Allemagne, en Italie et au Mexique. Il s’agirait « d’une campagne majeure d’e-mails malveillants ».
« Nous sommes au courant qu’un certain nombre d’organisations du NHS ont indiqué avoir subi une attaque de ransomware », a déclaré Theresa May sur la chaîne de télévision SkyNews.
Ce piratage informatique qui a touché plusieurs dizaines d’hôpitaux en Angleterre a été effectué via le virus Wanna Decryptor, selon le NHS, qui crypte les données contenues sur un ordinateur, afin d’exiger de son propriétaire une rançon en échange d’une clé de décodage.
« Cela ne vise pas le NHS, c’est une attaque internationale et plusieurs pays et organisations ont été touchés », a ajouté Theresa May, sans toutefois préciser quelles cibles avaient été affectées ou le nombre d’entités concernées.
Hôpitaux touchés.
Plusieurs organisations du service public de santé britannique (NHS), dont des hôpitaux, ont fait l’objet d’attaques informatiques ce vendredi, les obligeant à annuler des rendez-vous, a annoncé le NHS.
« Un certain nombre d’organisations ont rapporté avoir été affectées par des attaques informatiques », a expliqué le NHS dans un communiqué, soulignant que « l’enquête en est à son début » mais que le virus concerné serait Wanna Decryptor.
« A ce stade, nous n’avons pas d’élément permettant de penser qu’il y a eu accès à des données de patients » a précisé le NHS.
Cette attaque n’était « pas spécifiquement dirigée contre le NHS et touche d’autres secteurs », a-t-il encore indiqué, sans donner de précision.
« On nous a dit d’éteindre tous nos ordinateurs, et le wifi de nos téléphones. Aucun ordinateur ne fonctionne actuellement », ont déclaré à une journaliste de l’AFP deux employées de l’hôpital St Bartholomew, à Londres, sous couvert d’anonymat.
Caroline Brennan, une Britannique de 41 ans est, elle, venue dans cet hôpital du centre de la City pour rendre visite à son frère qui a subi une opération à cœur ouvert.
« Nous sommes arrivés à midi et ils nous ont dit qu’il était toujours en chirurgie même s’il devait normalement en être sorti depuis 8 h du matin », a-t-elle expliqué à l’AFP.
« Puis à 13 h, ils nous ont dit pour la première fois qu’il y avait un problème, que le système informatique était en panne et qu’ils ne pouvaient transférer personne tant que les ordinateurs ne marchaient pas », a-t-elle ajouté.
« Le problème pour nous c’est que nous n’avons su que seulement il y a quelques minutes que mon frère était vivant et que ça allait », a-t-elle regretté après des heures d’inquiétude.
Plusieurs autres services hospitaliers à travers l’Angleterre ont fait état de problèmes avec leurs services informatiques.
Rendez-vous annulés.
Un porte-parole du Barts Health NHS Trust, à Londres, a expliqué avoir été dans l’obligation d’annuler des rendez-vous et a appelé les patients à se rendre « dans d’autres services du NHS », sur Twitter.
« Nous avons activé notre plan d’incident majeur pour nous assurer que nous pouvons maintenir la sécurité et le bien-être de nos patients », a-t-il expliqué.
« Nous sommes désolés de devoir annuler des rendez-vous de routine et demandons au public d’utiliser autant que possible d’autre services du NHS », a-t-il ajouté, soulignant que « les ambulances sont redirigées vers des hôpitaux voisins ».
Un peu plus tôt dans l’après-midi, le géant des télécoms espagnol Telefonica et plusieurs autres entreprises espagnoles ont annoncé avoir été victimes d’une cyberattaque.
Plusieurs attaques en Espagne.
A Madrid, le ministère de l’Energie a expliqué avoir eu « confirmation de différentes cyberattaques visant des entreprises espagnoles », par un virus également de type ransomware.
Dans un communiqué, le ministère espagnol se veut cependant rassurant: « L’attaque a touché ponctuellement des équipements informatiques de travailleurs de différentes entreprises » et « elle n’affecte donc pas la prestation de services, ni l’exploitation des réseaux, ni l’usager de ces services ».
Le Centre cryptologique national espagnol (CCN) – division des services de renseignements en charge de la sécurité des technologies de l’information – a parlé d’une « attaque massive de ransomware », cryptoware ou « rançongiciel » en français, de type WannaCry.
L’attaque « touche les systèmes Windows en cryptant tous leurs fichiers et ceux des réseaux en partage », a expliqué le CCN.
Dix trucs à savoir sur Locky, la nouvelle plaie de vos ordis.
Il rend vos fichiers illisibles, et demande une rançon en échange de la clé qui permettra de revenir à la normale. Voici tout ce que vous devez savoir pour ne pas vous faire piéger.
Son nom fait tout de suite songer au vilain dieu de la mythologie nordique. A raison. Locky est l’une des dernières plaies à circuler sur le réseau. Après les hostos américains et l’Agence France-Presse, il circule désormais via Facebook ou LinkedIn. Les cibles sont donc nombreuses ; les moyens d’être contaminé multiples.
Le principe est simple : une fois ouvert sur votre ordinateur, ce programme bloque les principaux fichiers qui y sont stockés et réclame, en échange de la clé qui les rendra de nouveau lisibles, de l’argent.
Pour se prémunir de ce « ransomware » (ou « rançongiciel » en français bidouillé), voilà dix choses à garder en tête.
1.Il se faufile par vos e-mails et les réseaux sociaux.
Facebook, LinkedIn…
C’est la dernière trouvaille de Locky, et de tous ses petits frères rançongiciels : ils ont trouvé le moyen d’échapper à la vigilance de sites aussi populaires que Facebook ou LinkedIn.
Le principe est redoutable : une image vous est proposée, par exemple dans la fenêtre de chat de Facebook Messenger. Et le simple fait de cliquer dessus déclenche l’installation du logiciel malveillant – sans, bien sûr, que vous vous en aperceviez.
La mécanique est toujours la même, mais les outils peuvent varier.
- Les images peuvent être en format .svg (utilisé rarement par le grand public) ou, plus commun donc plus redoutable, en .jpg ;
- L’installation peut être directe ou en deux temps : après avoir cliqué sur l’image corrompue, une fenêtre proposant l’installation d’une extension à votre navigateur web peut s’ouvrir. Si vous acceptez, le résultat est le même ;
Les chercheurs en cybersécurité qui ont découvert le procédé fin novembre appellent à la plus grande prudence. Facebook a beau avoir démenti que Locky s’appuie directement sur une faille de son système, la boîte de cybersécurité israélienne Check Point, qui assure avoir averti Facebook comme LinkedIn, maintient que cette infection est possible. Elle l’a filmée en action dans la vidéo ci-dessus.
Par e-mails.
On ne change pas une formule qui marche : vu qu’il est impossible (ou kafkaïen) d’exiger des employés du monde entier de se passer aujourd’hui d’e-mails, la messagerie professionnelle est une cible de choix pour les personnes malveillantes.
Locky ne fait pas exception. Pour infecter un ordinateur, il se faufile d’abord dans un e-mail. Dissimulé dans une pièce jointe – un document en .doc, un fichier compressé en .zip, ou autres –, il se présente comme une facture urgente, une menace de convocation au tribunal… bref, le genre de trucs sur lesquels il est difficile de ne pas cliquer.
2.Il est bien ficelé.
Le problème, c’est que l’intrusion est extrêmement bien ficelée.
Quand elle passe par les réseaux sociaux, les utilisateurs ne s’attendent pas à voir des sites aussi populaires que Facebook vulnérables.
Quant aux mails vérolés, difficile de les détecter. Finie l’époque des scams truffés de fautes d’orthographe, confirme Loïc Guezo, directeur stratégie pour l’Europe de Sud chez l’éditeur Trend Micro, et administrateur du Club de la Sécurité de l’Information Français (Clusif) :
« Le contenu est de moins en moins suspect : l’attention des utilisateurs diminue donc. »
De même, l’adresse présentée comme étant celle de l’expéditeur est crédible – sans compter que Locky semble aussi siphonner les carnets d’adresses de ses victimes.
Or s’il est très facile de simuler une adresse complètement bidon, détecter le subterfuge n’est à l’inverse pas à la portée de tout le monde, explique l’ingénieur réseau Stéphane Bortzmeyer :
« Il faut s’y connaître pour repérer une adresse bizarre. »
Par ailleurs, il souligne la qualité du français utilisé dans les mails concernés. Cette finesse, ce ciblage de Locky, en font sa principale force.
3.Il chiffre tous vos fichiers.
Reste le gros morceau : sa mise en route. Locky va s’exécuter une fois que la personne visée va ouvrir le fichier qui le transporte. Là, plusieurs scénarios possibles, nous expliquent nos interlocuteurs :
- un ou plusieurs messages d’erreur s’affichent. Le plus souvent, les personnes cliquent sur « OK », sans y prêter attention ;
- rien ne se passe et l’utilisateur re-clique parfois même sur la pièce jointe pour s’assurer qu’il n’a pas fait de fausse manip.
En tâche de fond, Locky s’active : il va sur Internet pour aller chercher des bouts de programme qui lui manquent pour bien se lancer, explique Loïc Guezo, et, surtout, il se met à chiffrer tous vos programmes.
Ou en tout cas, suffisamment pour vous gâcher la vie : les documents de travail, les sons, les images… Pour lui économiser des efforts vains, une liste d’extensions (les .trucs de vos fichiers) l’accompagne parfois, ajoute Stéphane Bortzmeyer. Le site Bleeping computer en fournit d’ailleurs une jolie compilation.
4.Il demande une rançon.
Arrive le drame : tous vos fichiers sont illisibles. Et seule une clé bien précise vous permettra de ramener les choses à la normale. Sauf que cette clé, ce sont les personnes qui vous ont piégé qui la détiennent.
Sympa, ils vous disent comment l’obtenir, en déposant une note d’instructions dans tous les dossiers où un fichier a été chiffré – soit, potentiellement, partout sur votre ordi. Beaucoup moins sympa, cette notice intitulée _Locky_recover_instructions.txt, vous fait comprendre qu’il faudra payer.
La rançon va de 200 à 1 000 euros, estime Stéphane Bortzmeyer, même si Loïc Guezo dit avoir eu connaissance de montants beaucoup plus élevés, de l’ordre de 15 000 euros.
« Mais effectivement, dans la grand majorité, Locky exige une rançon assez basse. »
Sauf qu’il y a un autre problème : cette somme n’est pas exigée en euros. Ni en dollars. Mais en bitcoins.
5.Il est obligé de faire de la pédagogie.
C’est l’aspect cocasse de l’histoire – même si, on s’en doute, cela n’a pas dû faire rire ceux qui ont vécu cette mésaventure.
Pour s’assurer de toucher la somme réclamée, les assaillants ont été obligé de faire de la pédagogie sur le chiffrement et le bitcoin. Des choses du numérique qui peuvent être très utiles, comme on le répète souvent par ici, mais qui servent aussi à des trucs moins cools (au même titre que les voitures ou les fourchettes).
Sur l’une des notes, comme celle que l’AFP a reçue récemment, les criminels fournissent deux liens Wikipedia pour expliquer le chiffrement, et plusieurs pour les choses sérieuses : le paiement en bitcoins.
Une fois sur l’une de ces pages, tout est indiqué : comment se créer un porte-monnaie pour cette monnaie virtuelle bien connue des habitués du Net, comment s’en procurer et, bien sûr, comment en envoyer à l’adresse des agresseurs.
Sur la page que nous avons visitée, il y a même possibilité de changer de langues : portugais, japonais, suédois… plus de vingt choix différents sont possibles.
6.On le retrouve partout dans le monde.
Locky a fait de nombreuses victimes, un peu partout dans le monde, dont certaines se sont fait connaître du grand public.
Ici, le cas d’une petite entreprise dans L’Est Républicain :
« J’attendais des tarifs d’un grossiste italien. […] J’ai reçu un mail avec un pdf, le corps du texte était écrit en anglais. Je suis habituellement vigilant mais là je me suis dit que c’était le document que j’attendais par mail. J’ai ouvert la pièce jointe… »
Là, l’exemple de l’AFP, dont on a déjà parlé. Là encore, celui d’une hydrolienne au large d’Ouessant.
Plus inquiétant, le cas d’un hôpital américain californien, qui a versé l’équivalent de 17 000 dollars aux rançonneurs. Il faut dire que son système informatique s’est vu paralysé pendant tout une semaine.
Au regard d’observations réalisées sur la clientèle de Trend Micro, Loïc Guezo confirme que le secteur médical constitue une cible de choix pour Locky. Y compris en France, globalement dans le viseur de la campagne de propagation actuelle. Le 22 mars, un hôpital de Boulogne-sur-Mer racontait sa mésaventure dans la presse locale.
Selon nos informations, le ministère de la Santé aurait reçu une centaine de signalements liés à des rançongiciels du type Locky depuis le début du mois de mars. Contacté, il n’a pour le moment pas réagi.
On a aussi repéré des cas en Allemagne et en Amérique latine.
7.On ignore l’identité de ceux qui se cachent derrière Locky.
Maghreb, Russie, voire offensive « russo-cubaine ». Si beaucoup spéculent sur l’identité de ceux qui se cachent derrière Locky, il faut être très prudent – comme toujours en matière de sécurité informatique.
Nos interlocuteurs ajoutent que les personnes qui ont fait des victimes en France ne sont pas forcément les mêmes qui ont lancé des offensives ailleurs dans le monde. Ou que celles à l’origine de ce programmes : ce genre de logiciels peuvent être achetés, et les rançons ensuite réajustées, par les criminels qui en font l’acquisition.
Pour avoir une piste sur l’origine de Locky, les différents labo et boîtes de sécurité vont essayer de détecter des éléments repérés lors de précédentes vagues d’attaques.
8.Il est pénible pour les antivirus.
En France, explique Stéphane Bortzmeyer, « il y a une semaine, Locky passait encore les antivirus. »
Représentant l’un vendeur de ce type d’outil, Loic Guezo rappelle que quand un nouveau produit apparaît, il faut du temps pour l’identifier.
« Ça pose toujours problème dans la phase récente de la contamination. »
L’autre souci, c’est que Locky est relativement imprévisible : quand il se connecte sur Internet pour donner à ses maîtres les clés qu’il a générées pour chiffrer les fichiers de ses cibles, il ne se rend jamais sur la même adresse.
« C’est une technique classique, reprend Stéphane Bortzmeyer, le “Domain generation algorithm” ou DGA. » Chaque jour, un ou plusieurs noms de domaine sont générés, comme autant de points de rendez-vous. Et autant de moyens de ne pas se faire gauler.
Commentaire de Loïc Guézo :
« C’est effectivement un problème pour les éditeurs. Mais il y a des moyens de le contourner, en identifiant des séquences, ou des adresses IP, pour voir si elles sont connues. »
9.Il peut être contré avec quelques mesures.
Échappant à la vigilance des humains et parfois des machines, Locky est-il alors inévitable ? Il est possible de s’en protéger – ou de limiter les dégâts – en suivant ces conseils :
- examinez bien les e-mails bizarres et signalez-les à votre service informatique en cas de doute ;
- mettez à jour vos antivirus ;
- faites des sauvegardes régulières de votre disque ;
10.Il a plein de petits frères.
Ceci dit, gardez en tête que Locky n’est que la manifestation d’une tendance. Loïc Guézo dit avoir observé des campagnes similaires depuis plus d’un an.
« La précédente, c’était Dridex. »
Fin 2015, la France a en effet été la cible d’envois massifs de messages infectés par cette menace, identifiée en 2014.
La sécurité informatique, c’est comme la lutte contre le dopage. Ça ne s’arrête jamais, ça s’adapte sans arrêt, et ça revient régulièrement faire les gros titres des journaux.
domhertz.com 