Cyberattaque mondiale : ce que l’on sait de "Petrwrap", ce virus qui sévit depuis mardi

DirectLCI
SÉCURITÉ – Mardi, les premiers signaux d’une cyberattaque d’ampleur mondiale ont été donnés en Ukraine et en Russie. Plusieurs pays d'Europe occidentale ont été touchés. Que s’est-il passé ? Qui a été affecté ? LCI fait le point.

Une nouvelle cyberattaque d'ampleur mondiale a visé mardi plusieurs grandes entreprises et institutions publiques dans plusieurs pays, notamment européens. A l'instar du rançongiciel (ransomware) Wannacry, qui avait notamment touché le système de santé britannique au mois de mai, de nombreuses entreprises ont été victimes d'une nouvelle tentative de rançon. En France, plusieurs grands groupes ont été particulièrement affectés. 

Que s’est-il passé ?

Une cyberattaque du nom de "Petrwrap" s’est répandue mardi en Europe occidentale et a également touché les États-Unis. Les premières alertes ont été lancées par l’Ukraine et la Russie mardi en fin de journée. À Kiev, les écrans de l’aéroport affichaient un message inquiétant : une demande de rançon numérique. D’autres institutions publiques, y compris le réseau informatique du gouvernement, ont été touchées. À Tchernobyl, certains contrôles de radiation ont dû être effectués manuellement. Selon Mounir Mahjoubi, secrétaire d’État au numérique, cette attaque est d’une ampleur "sans précédent". La France, le Danemark, le Royaume-Uni, la Norvège, et les Pays-Bas ont également été affectés. 

Quelle est la nature de cette attaque ?

Cette cyberattaque a été rendue possible grâce à un "rançongiciel", également appelé "ransomware". Selon les informations de plusieurs médias, un logiciel malveillant a pris le contrôle des ordinateurs de plusieurs grandes entreprises afin d’exiger une rançon pour débloquer leurs données personnelles. Ces dispositifs infectent aussi bien les PC que les smartphones et les tablettes, et peuvent toucher les particuliers, les institutions publiques, ainsi que les sociétés privées. L’entreprise de cybersécurité russe, Kaspersky Labs, a révélé qu’il s’agissait d’un nouveau ransomware, qui n’a jamais été vu jusqu’ici. 


Le virus utilisé intégrerait un code connu sous le nom d’Eternal Blue. Plusieurs spécialistes de cybersécurité pensent qu’il pourrait avoir été dérobé à la NSA, l’agence américaine de sécurité nationale.  Selon Microsoft, ce virus pourrait se propager en exploitant une faille qui a déjà fait l’objet d’un correctif lors d’une mise à jour de sécurité proposée en mars dernier. L’entreprise a affirmé qu’elle enquêtait toujours afin de pouvoir prendre les mesures appropriées. Plusieurs experts informatiques affirment par ailleurs que le logiciel de comptabilité ukrainien MeDoc aurait servi de vecteur au ransomware à la suite d’un piratage lors d’une mise à jour dont la signature n’a pas été vérifiée. Plusieurs entreprises européennes touchées utilisaient ce logiciel de comptabilité, dont le transporteur danois Maersk.

Quelles conséquences en France ?

Plusieurs grandes entreprises comme Auchan, la SNCF ou encore Saint-Gobain ont été touchées par cette cyberattaque. Le distributeur français a assuré que les systèmes informatiques qui avaient été infectés avaient été isolés, permettant de contenir le problème.


Dans une des sociétés du groupe Saint-Gobain, on parlait néanmoins d’ "énorme crise". En Picardie, un des sites a vu s’afficher un message sur ses écrans d’ordinateur demandant 300 dollars afin de récupérer ses données. La plupart des collaborateurs ont été invités à rentrer chez eux, et une partie des salariés a été mise en RTT pour la journée de mercredi. Un des cadres de l’entreprise a affirmé auprès de l’AFP que la direction était très inquiète. "Nous n’avons plus accès à l’approvisionnement, aux livraisons, aux tarifs", a-t-il affirmé. Une intervention sur plusieurs centaines d’ordinateurs sera sans doute nécessaire pour rétablir complètement le système.


Le parquet de Paris a décidé de l’ouverture d’une enquête pour "accès, maintien frauduleux dans un système de traitement automatisé de données (STAD), introduction frauduleuse de données dans un STAD, entrave au fonctionnement d’un STAD, extorsion et tentative d’extorsion". L’investigation a été confiée aux policiers de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC).

Quels précédents ?

En mai dernier, le rançongiciel WannaCry avait infecté quelque 300 000 ordinateurs dans 150 pays. Le système de santé publique britannique, le National Health Service, avait particulièrement été touché, ainsi que le constructeur français Renault. Finalement, c’est un jeune Britannique de 22 ans, passionné d’informatique qui avait réussi à tuer le virus en achetant pour 12 euros le nom de domaine auquel WannaCry tentait sans succès de se connecter. Selon les experts cependant, la nouvelle cyberattaque de mardi pourrait être plus importante en raison d’un logiciel plus complexe. 

Plus d'articles

Sur le même sujet

Lire et commenter