•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Une multitude d'entreprises menacées par une cyberattaque aux États-Unis

Un gros plan sur un écran sur lequel on peut voir des rangées de zéros et de un verts avec, au centre, une tête de mort rouge.

Cette attaque a forcé la fermeture de 800 magasins en Suède.

Photo : iStock / Hailshadow

Agence France-Presse

Des pirates informatiques ont attaqué la société américaine Kaseya pour demander une rançon à potentiellement plus de 1000 entreprises à travers son logiciel, avec comme première conséquence directe la fermeture de 800 magasins en Suède.

L'attaque a en effet paralysé les caisses de Coop Suède, une des plus grandes chaînes de supermarchés du pays, qui a dû suspendre son activité samedi.

Il est difficile pour l'instant d'estimer l'ampleur de cette attaque par rançongiciel. Appelé aussi ransomware, ce type de programme informatique exploite des failles de sécurité d'une entreprise ou d'un individu pour paralyser ses systèmes informatiques puis exiger une rançon pour les débloquer.

Kaseya, qui a qualifié samedi la cyberattaque de sophistiquée, assure qu'elle a été circonscrite à un très petit nombre de clients.

Un week-end prolongé

Vendredi soir, l'entreprise avait expliqué s'être rendu compte d'un possible incident sur son logiciel VSA à la mi-journée sur la côte est-américaine, juste avant un week-end prolongé par un jour férié lundi.

La société estimait alors que moins de 40 clients dans le monde étaient affectés.

Mais ces derniers fournissent eux-mêmes des services à d'autres sociétés.

Selon l'entreprise spécialisée dans la sécurité informatique Huntress Labs, plus de 1000 entreprises ont été affectées par ce rançongiciel.

Basée à Miami, Kaseya propose des outils informatiques aux petites et moyennes entreprises, dont l'outil VSA destiné à gérer leur réseau de serveurs, d'ordinateurs et d'imprimantes depuis une seule source. Elle revendique plus de 40 000 clients.

L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) surveille de près la situation, a indiqué Eric Goldstein, responsable pour la cybersécurité au sein de l'organisme.

Nous travaillons avec Kaseya et nous coordonnons avec le FBI pour mener des actions de sensibilisation auprès des victimes susceptibles d'être touchées, a-t-il ajouté dans un message transmis à l'AFP.

Des attaques fréquentes

Les attaques par rançongiciel sont devenues fréquentes et les États-Unis ont été particulièrement frappés ces derniers mois par des assauts touchant aussi bien de grandes entreprises comme le géant de la viande JBS ou le gestionnaire d'oléoducs Colonial Pipeline, que des collectivités locales et des hôpitaux.

De nombreux experts estiment que les pirates à l'origine de ces attaques sont souvent installés en Russie. Moscou, suspecté de couvrir voire d'être associé à leurs activités, dément toute implication.

Mais le phénomène prend une telle ampleur qu'il a été un des points principaux soulevé par le président américain Joe Biden lors de sa rencontre mi-juin avec son homologue russe Vladimir Poutine.

Joe Biden, qui a ordonné samedi une enquête, a affirmé que la première réflexion était qu'il ne s'agissait pas du gouvernement russe, mais nous ne sommes pas encore sûrs.

Cette dernière attaque au rançongiciel qui affecte des centaines d'entreprises est une piqure de rappel pour le gouvernement américain, qui doit lutter contre ces groupes cybercriminels étrangers, a jugé de son côté Christopher Roberti, chargé de la cybersécurité à la Chambre de commerce américaine.

Une logique d'extorsion

La nature de l'attaque est similaire à celle utilisée avec l'éditeur de logiciels de gestion informatique SolarWinds, qui avait touché fin 2020 des organisations gouvernementales et des entreprises américaines.

Mais habituellement, les cybercriminels œuvrent entreprise par entreprise, rappelle Gérôme Billois, expert en cybersécurité du cabinet de conseil Wavestone.

Dans cette affaire, ils ont attaqué une société qui fournit un logiciel de gestion des systèmes informatiques, ce qui leur permet de toucher simultanément plusieurs autres dizaines, voire centaines de sociétés, explique-t-il.

Il est compliqué de déterminer le nombre exact, car dans ce genre de situation, les entreprises affectées perdent leur moyen de communication, ajoute M. Billois. Et Kaseya, qui a demandé à ses clients d'éteindre tous leurs systèmes, ne peut pas savoir si leur système s'est éteint de plein gré ou de force, explique-t-il.

Selon Huntress Labs, à en croire les méthodes utilisées, les notes de rançongiciel et l'adresse Internet fournie par les pirates, c'est un affilié au groupe de flibustiers numériques connu sous les noms de Revil ou Sodinokibi qui serait à l'origine de ces intrusions.

Le FBI a imputé à ce groupe la cyberattaque contre JBS fin mai.

L'attaque lancée vendredi est l'une des plus importantes et étendues que j'ai vues dans ma carrière, estime Alfred Saikali, du cabinet d'avocat Shook, Hardy & Bacon, qui a l'habitude de traiter ce genre de situations.

Il est en général recommandé de ne pas payer la rançon, souligne-t-il. Mais parfois, en particulier quand les données ne peuvent pas être sauvegardées, il n'y a pas le choix, reconnaît-il.

Si plusieurs entreprises choisissent de payer, il n'est pas sûr que le groupe de hackers ait les capacités de gérer des conversations simultanées, remarque par ailleurs M. Callow.

Si elles doivent faire la queue pour négocier, le temps perdu peut revenir très cher.

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !