Les équipes techniques des entreprises s’efforçaient dimanche de mettre à niveau leurs systèmes d’exploitation et de réparer les réseaux informatiques infectés dans la crainte que des attaques viennent à nouveau semer le chaos lundi à la reprise du travail.
Les experts en cybersécurité ont fait savoir que la prolifération du virus appelé WannaCry – un « rançongiciel » – qui a bloqué plus de 200 000 ordinateurs dans le monde – s’était calmée mais que ce répit pourrait être de courte durée.
De nouvelles versions du virus sont prévisibles, disent-ils, et l’étendue des dégâts provoqués par l’attaque tous azimuts conduite vendredi reste à évaluer.
Les ordinateurs infectés semblent être avant tout des appareils jugés trop obsolètes pour être mis à jour ou encore des machines engagées dans des opérations hospitalières ou manufacturières qu’il aurait été trop difficile de corriger sans perturber des activités essentielles, ont précisé les experts.
Selon Marin Ivezic, expert en cybersécurité chez PwC, certains clients ont « travaillé jour et nuit depuis l’annonce de l’attaque » afin de nettoyer leurs systèmes d’exploitation et d’installer des logiciels actualisés ou des corrections, ou encore de réparer leurs systèmes à partir de sauvegardes.
Microsoft a réactivé le mois dernier et vendredi une mise à jour permettant de réparer une faille qui a permis au virus de se disséminer dans les réseaux et de proliférer vendredi.
Le code d’exploitation du virus connu sous le nom d' »Eternal Blue » a été diffusé sur le réseau internet en mars par un groupe se faisant appeler The Shadow Brokers. Le groupe affirme l’avoir volé à la NSA, l’agence américaine de la sécurité nationale.
La NSA n’a pas répondu aux demandes de commentaires.
Le virus baptisé WannaCry, et connu aussi sous les noms de WannaDecryptor, WanaCrypt0r 2.0 et WCry?, s’exécute par le biais d’un logiciel malveillant installé à l’insu de l’utilisateur. Il crypte les données de ce dernier et exige des sommes d’argent, généralement entre 300 et 600 dollars, payables en bitcoins, pour les rendre à nouveau lisibles ou débloquer certaines fonctionnalités de l’ordinateur infecté.
Marin Ivezic, l’expert basé à Hong Kong, a précisé que le « rançongiciel » obligeait certains clients plus « matures » touchés par le virus à abandonner leurs pratiques prudentes de test des corrections « pour procéder à des arrêts non planifiés et des nettoyages d’urgence, ce qui présente certains inconvénients. » Il a refusé de citer les clients concernés.
Journée noire?
Le directeur d’Europol, l’organisme européen de coopération policière, Rob Wainwright, a déclaré dimanche que l’attaque de vendredi avait fait 200.000 victimes dans au moins 150 pays et que ce nombre augmenterait avec le retour au travail lundi. « L’ampleur de l’attaque est sans précédent. Les derniers chiffres s’élèvent à 200 000 victimes dans au moins 150 pays (…) des entreprises pour beaucoup d’entre elles », a-t-il dit. « À l’heure actuelle, nous devons affronter une escalade de la menace. Les chiffres augmentent, je suis préoccupé devant le risque de les voir encore augmenter, lundi, lorsque les gens retourneront au travail. »
Lundi pourrait bien être une journée noire, surtout dans les pays d’Asie qui n’ont peut-être pas subi le plus fort de la vague de cyberattaques, avec la remise en route des ordinateurs. « Attendez-vous à entendre encore beaucoup parler de cela demain matin lorsque les utilisateurs vont revenir à leurs bureaux et pourraient tomber sur des courriels d’hameçonnage, ou sur d’autres moyens de propager le virus », a dit Christian Karam, un chercheur en sécurité informatique basé à Singapour.
Les attaques ont touché des entités de toutes tailles.
Renault a suspendu samedi par précaution la production de plusieurs de ses sites en France et à l’étranger, pour empêcher la propagation du virus détecté vendredi en fin de journée dans son système informatique. Le groupe a fait savoir dimanche que la quasi-totalité de ses usines touchées par les attaques devraient pouvoir reprendre leur activité lundi.
La filiale roumaine de Renault, Dacia, a également été visée, de même que l’usine britannique de Sunderland de son partenaire japonais Nissan.
À Paris, une porte-parole de l’Agence nationale de sécurité des systèmes d’information (ANSSI), a indiqué que, à sa connaissance, « il n’y a pas d’autre victime en France que Renault pour l’instant ».
En Allemagne, l’opérateur ferroviaire Deutsche Bahn a de son côté dit constater des anomalies sur les panneaux des arrivées et des départs.
En Espagne, l’opérateur télécoms Telefonica a figuré parmi les victimes, et Portugal Telecom et Telefonica Argentine ont tous deux annoncé avoir été visés. Un hôpital de Jakarta a annoncé dimanche qu’un virus avait infecté 400 de ses ordinateurs, ce qui perturbait l’enregistrement de ses patients et la recherche de documents.
Les pirates informatiques auraient d’ores et déjà reçu 32 500 dollars en bitcoins à 11h00 GMT dimanche, mais la facture pourrait grimper avant l’échéance fixé à lundi.
