Africa Top Success Ils font l'Afrique
D’où vient la cyberattaque géante qui a paralysé une partie des ordinateurs d’hôpitaux anglais, et fragilisé de nombreuses multinationales, dont le groupe Renault qui a dû fermer certains sites de production ? Le hacker français @x0rz, par ailleurs expert en cybersécurité dans un cabinet de conseil, répond à nos questions.
Que s’est-il passé ?
@x0rz: Il y a un mois, la fuite organisée par un groupe de hackers, les Shadows Brokers, a rendu public que la NSA exploitait des failles sur Windows pour espionner des postes. Depuis, on a dévoilé plusieurs vulnérabilités géantes, dont une surnommée EternalBlue. Pour pallier cette vulnérabilité, Microsoft a mis à disposition le patch MS17-010. Or, toutes les entreprises et organisations n’ont pas appliqué ce correctif à leur système informatique, et c’est ce dont a profité l’attaque géante de vendredi. Tout ce qui s’est passé était donc prévisible. L’opérateur téléphonique espagnol Telefonica a été un des premiers à alerter sur l’attaque dont il était l’objet, suivi par le service hospitalier anglais. Les organisations étaient obligées de payer entre 200 et 600 dollars par poste sous forme de bitcoins. Si elles ne payaient pas, le programme se mettait à chiffrer, c’est-à-dire rendre inaccessibles des fichiers internes. Il s’agit d’un ransomware que l’on peut traduire en français par rançongiciel.
Quelle leçon peut-on en tirer de ce guet-apens mondial ?
Trop peu de grandes entreprises prennent au sérieux le risque de cyberattaques. Il y a déjà un mois, de nombreux experts ont expliqué qu’il était possible d’utiliser cette vulnérabilité pour y glisser un « worm », c’est-à-dire un logiciel malveillant qui s’auto-réplique. Or, beaucoup d’organisations ont ou bien omis de patcher ou bien l’ont fait trop tard, ou encore ont omis certains postes de travail.
Pourquoi alors cette négligence ?
Parfois, les process de décision informatique des grandes entreprises sont compliqués. Dans certains hôpitaux, une à deux personnes doivent gérer plusieurs centaines de postes, c’est trop peu. Il faudrait que la direction informatique soit bien mieux armée pour être plus efficace.
D’où vient l’attaque à votre avis ?
Je ne le sais pas. Par contre, il s’agit d’une organisation professionnelle qui avait prévu la propagation internationale du rançongiciel, car ils avaient prévu d’énoncer leur demande de rançon en 17 langues. En quelques heures, j’estime qu’ils ont gagné au minimum 25 000 dollars. J’ai réalisé cette estimation en observant le montant récolté par trois adresses bitcoin rendues publiques par le ransomware pour le paiement de la rançon. Mais ce n’est pas fini : beaucoup d’organisations continuent à payer la rançon de manière discrète pour ne pas dévoiler au monde entier leur vulnérabilité.
Que peut-il se passer maintenant ?
Tout est ouvert. Mais paradoxalement, le gros de l’infection, qui s’est répandu comme une traînée de poudre, est peut-être derrière nous. En effet, les auteurs de cette attaque ont intégré dans leur programme malveillant, un « killswitch » un mécanisme destiné à freiner l’attaque après avoir obtenu ce qu’ils voulaient. En attendant la prochaine attaque?
Source: lepoint.fr
