Cet article vous est offert
Pour lire gratuitement cet article réservé aux abonnés, connectez-vous
Vous n'êtes pas inscrit sur Le Monde ?

Le virus Petya paralyse entreprises et administrations à travers le monde

L’Ukraine est le pays le plus touché. Le géant pétrolier russe Rosneft ou l’entreprise Saint-Gobain sont également concernés.

Par Damien Leloup, Florian Reynaud et Martin Untersinger

Publié le 27 juin 2017 à 16h19, modifié le 28 juin 2017 à 18h50

Temps de Lecture 4 min.

Un « ransomware » est un logiciel qui chiffre les données présentes sur un ordinateur et exige une rançon pour le rétablir.

Ukraine, Russie, Danemark, France, Royaume-Uni, Norvège, Pays-Bas... Un virus informatique de type « ransomware », qui chiffre le contenu d’un ordinateur pour le rendre inutilisable jusqu’au paiement d’une rançon, a paralysé le fonctionnement de très nombreuses entreprises dans le monde, mardi 27 juin.

Le virus semble être une variante d’un ransomware apparu en 2016, baptisé Petya, d’après les premières constatations des spécialistes de la sécurité informatique.

L’Ukraine particulièrement visé

Les premières alertes ont été données en Ukraine, le pays le plus sévèrement touché. L’activité de certaines banques, le fonctionnement du métro, celui de plusieurs administrations et de l’opérateur d’énergie de la région de Kiev ont été largement perturbé. L’ordinateur du vice-premier ministre a lui-même été touché, a-t-il annoncé sur le réseau social Facebook.

Le premier ministre ukrainien a qualifié cette épisode de « sans précédent » tout en précisant que « les systèmes vitaux [du pays] n’ont pas été affectés ». Le système de contrôle automatisé des radiations de la centrale de Tchernobyl a cependant été affecté par le virus, forçant l’autorité de surveillance à revenir à des contrôles manuels, selon l’agence chargée du contrôle de la zone d’exclusion autour de la centrale.

Selon une première analyse effectuée par le spécialiste Kaspersky, 60 % des ordinateurs infectés se trouvent en Ukraine, et 30 % en Russie.

Ordinateurs totalement inutilisables

Ailleurs dans le monde, plusieurs entreprises majeures, dont le géant français du bâtiment Saint-Gobain, le pétrolier russe Rosneft, le groupe publicitaire britannique WPP, ou encore le poids lourd danois du transport maritime Maersk ont confirmé être victimes d’attaques informatiques paralysant en partie ou totalement leurs services.

C’est le cas notamment du géant pharmaceutique américain Merck, qui a fait savoir sur Twitter que son réseau informatique était ciblé par l’attaque « mondiale ». Selon le site spécialisé Motherboard, des bureaux du cabinet d’avocat DLA Piper ont également été visés.

En France, le géant des matériaux Saint-Gobain (170 000 salariés) a confirmé avoir été touché par « une cyberattaque », qui a notamment provoqué une panne de son système e-mail. La SNCF a également dit « subir l’attaque en cours » niant toutefois en être « victime », a insisté le porte-parole du groupe soulignant que les opérations de l’entreprise ferroviaire n’étaient pas affectées.

« Le niveau de cette attaque est sans précédent », a indiqué le secrétaire d’Etat au numérique Mounir Mahjoubi. Il a cependant vanté la solidité du Web français : « les entreprises les plus importantes et les services publics les plus importants sont protégés par des systèmes de haut niveau », a-t-il déclaré.

Le virus Petya touche la partie du disque dur qui contient les logiciels utilisés au démarrage de l’ordinateur, le rendant totalement inutilisable, là où la plupart des ransomwares habituels se « contentent » de bloquer l’accès aux documents personnels.

Une faille de sécurité connue soupçonnée

« Nous constatons actuellement plusieurs milliers de tentatives d’infection, un rythme comparable à celui des premières heures de déploiement de Wannacry [un virus qui s’était propagé de façon spectaculaire le 19 mai] », a déclaré Costin Raiu, de l’entreprise Kasperksy, interrogé par Forbes.

Le Monde
Offre spéciale étudiants et enseignants
Accédez à tous nos contenus en illimité à partir de 9,99 €/mois au lieu de 11,99 €.
S’abonner

Selon plusieurs entreprises de sécurité informatique, cette souche de Petya utilise EternalBlue, un outil issu de la NSA, la puissante agence de renseignement américaine. C’était lui qui était déjà responsable de la propagation éclair du rançongiciel WannaCry, en mai. La faille qu’il utilise est pourtant corrigée depuis avril par Microsoft, ce qui signifie que les machines touchées par cette dernière variante de Petya n’étaient vraisemblablement pas mises à jour.

En revanche, selon un bulletin émis mardi en fin d’après-midi par le centre d’alerte de l’Agence nationale de sécurité des systèmes d’information (Anssi), le garde du corps numérique de l’Etat, le vecteur de diffusion demeure « inconnu » à ce stade. Cependant, il précise que Petya pourrait, outre les postes de travail, toucher également les serveurs.

Lire aussi Qui est Lazarus, le groupe de pirates dont l’ombre plane sur le rançongiciel WannaCry ?

Coordination des unités de cybercriminalité

Le logiciel demande aux victimes de payer une rançon en bitcoins, une monnaie virtuelle, pour pouvoir débloquer leur ordinateur. La cible devait ensuite envoyer un e-mail à une adresse indiquée avec un identifiant spécifique pour prouver qu’il avait bien payé la rançon et donc récupérer l’accès à son système. Le fournisseur e-mail utilisé par le ou les rançonneurs, Posteo, a précisé sur son site avoir fermé l’adresse incriminée. Ce qui signifie que, même si une victime choisit de payer la rançon, elle ne pourra plus récupérer l’accès à son ordinateur.

Europol, l’agence de coordination policière de l’Union européenne, est en train de prendre langue avec les unités de cybercriminalité des Etats membres, afin d’évaluer la portée de la contagion, a expliqué un porte-parole de l’agence, sollicité par Le Monde.

Le virus Wannacry avait paralysé de nombreuses administrations et entreprises un peu partout dans le monde. Sa progression avait été stoppée de manière presque accidentelle par un chercheur en sécurité informatique qui avait découvert par hasard un mécanisme d’arrêt d’urgence dans le code du logiciel, stoppant sa propagation, avant que Microsoft ne publie plusieurs correctifs de sécurité.

Martin Untersinger, Damien Leloup et Florian Reynaud

Comment éviter d’être infecté par Petya ?

On ignore encore comment le virus Petya s’est précisément diffusé, mais les ransomware se propagent généralement via des pièces jointes de courriels, avant de se diffuser sur le réseau local. Il est fortement recommandé de ne pas ouvrir les pièces jointes provenant de courriels dont on ne connaît pas le destinataire, et plus généralement d’appliquer les mises à jour de sécurité de Windows, si elles ne sont pas automatiques. Il est aussi prudent de faire des sauvegardes sur des supports non connectés à un Internet, comme des disques durs externes.

Pour les ordinateurs ayant été infectés, l’Anssi, le garde du corps numérique de l’Etat français, recommande par ailleurs de ne jamais payer la rançon demandée, notamment parce qu’il n’est jamais garanti de recevoir une clé de déchiffrement. Il est conseillé de déconnecter immédiatement la machine infectée du réseau et d’attendre un correctif ou la publication d’un outil de déverrouillage.

  • La justice française ouvre une enquête sur le virus Petya Le parquet de Paris a ouvert, mardi 27 juin, une enquête de flagrance à la suite des signalements par plusieurs entreprises françaises d’une contamination par le virus informatique Petya, qui a touché plusieurs pays mardi. Cette investigation a été ouverte pour « accès et maintien frauduleux dans des systèmes de traitement automatisé de données », « entrave au fonctionnement » de ces systèmes, « extorsions et tentatives d’extorsion », a appris l’Agence France-Presse. L’enquête a été confiée à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC).

Damien Leloup, Florian Reynaud et Martin Untersinger

L’espace des contributions est réservé aux abonnés.
Abonnez-vous pour accéder à cet espace d’échange et contribuer à la discussion.
S’abonner

Voir les contributions

Réutiliser ce contenu

Le Monde Guides d’achat

Découvrir
Pianos numériques

Pianos numériques

Les meilleurs pianos numériques pas chers pour débutants

 Friteuses sans huile

Friteuses sans huile

Les meilleures friteuses sans huile

 Cadenas

Cadenas

Les meilleurs cadenas pour vélo

 Gaufriers

Gaufriers

Les meilleurs gaufriers

 Aspirateurs robots laveurs

Aspirateurs robots laveurs

Les meilleurs robots aspirateurs laveurs

 Visseuses

Visseuses

Les meilleures visseuses

 Reveils à simulateur d’aube

Reveils à simulateur d’aube

Les meilleurs réveils simulateurs d’aube

Lecture du Monde en cours sur un autre appareil.

Vous pouvez lire Le Monde sur un seul appareil à la fois

Ce message s’affichera sur l’autre appareil.

  • Parce qu’une autre personne (ou vous) est en train de lire Le Monde avec ce compte sur un autre appareil.

    Vous ne pouvez lire Le Monde que sur un seul appareil à la fois (ordinateur, téléphone ou tablette).

  • Comment ne plus voir ce message ?

    En cliquant sur «  » et en vous assurant que vous êtes la seule personne à consulter Le Monde avec ce compte.

  • Que se passera-t-il si vous continuez à lire ici ?

    Ce message s’affichera sur l’autre appareil. Ce dernier restera connecté avec ce compte.

  • Y a-t-il d’autres limites ?

    Non. Vous pouvez vous connecter avec votre compte sur autant d’appareils que vous le souhaitez, mais en les utilisant à des moments différents.

  • Vous ignorez qui est l’autre personne ?

    Nous vous conseillons de modifier votre mot de passe.

Lecture restreinte

Votre abonnement n’autorise pas la lecture de cet article

Pour plus d’informations, merci de contacter notre service commercial.