États-Unis : plus de 1 000 entreprises menacées par une cyberattaque géante

Difficile d’estimer l’ampleur de cette cyberattaque géante qui touche déjà plusieurs continents. Des pirates informatiques ont attaqué la société américaine Kaseya, samedi 3 juillet, juste avant la fête nationale des États-Unis, pour demander une rançon à potentiellement plus de 1 000 entreprises.

Première conséquence directe : l'attaque a déjà provoqué la fermeture de 800 magasins en Suède. L’attaque a en effet paralysé les caisses de Coop Suède, une des plus grandes chaînes de supermarchés du pays, qui a dû suspendre son activité samedi, ses caisses étant paralysées par l'attaque. 

Les hackers ont utilisé un rançongiciel, appelé aussi "ransomware", un type de programme informatique qui exploite des failles de sécurité d’une entreprise pour paralyser ses systèmes informatiques puis exiger une rançon pour les débloquer.

Moscou, suspecté, dément toute implication

Selon de nombreux experts, les pirates à l'origine de ce type d'attaque par rançongiciel sont souvent installés en Russie. Moscou, suspecté de couvrir voire d'être associé à leurs activités, dément toute implication.

Mais le phénomène prend une telle ampleur qu'il a été un des points principaux soulevé par le président américain Joe Biden lors de sa rencontre mi-juin avec son homologue russe Vladimir Poutine.

Joe Biden, qui a ordonné samedi une enquête, a affirmé que "la première réflexion était qu'il ne s'agissait pas du gouvernement russe, mais nous ne sommes pas encore sûrs".

"S'il s'avère que cela s'est produit alors que la Russie en avait connaissance et/ou que c'est du fait de la Russie, alors j'ai dit à (Vladimir) Poutine que nous répondrons", a déclaré le président américain.

Une attaque "sans précédent" 

Basée à Miami, Kaseya vend des outils informatiques aux entreprises, dont le logiciel VSA destiné à gérer des réseaux de serveurs, ordinateurs et imprimantes depuis une seule source. Elle revendique plus de 40 000 clients.

Kaseya, qui s'est rendu compte vendredi à la mi-journée sur la côte est des États-Unis d'un possible incident sur son logiciel VSA, a assuré qu'elle avait été circonscrite "à moins de 40 clients dans le monde". 

Mais ces derniers fournissent eux-mêmes des services à d'autres sociétés, ce qui permet aux pirates de démultiplier leur attaque.

Selon l'entreprise spécialisée dans la sécurité informatique Huntress Labs, "plus de 1 000 entreprises" ont été affectées par ce rançongiciel.

"On n'a pour le moment aucune donnée sur le nombre de sociétés concernées", remarque Brett Callow, expert en cybersécurité chez Emsisof. Mais l'ampleur de l'attaque est probablement "sans précédent". 

Un problème de sécurité nationale

Les attaques par rançongiciel sont devenues fréquentes et les États-Unis ont été particulièrement frappés ces derniers mois par des assauts touchant aussi bien des grandes entreprises, comme le géant de la viande JBS ou le gestionnaire d'oléoducs Colonial Pipeline, que des collectivités locales et des hôpitaux.

>> À voir : Cyberattaque aux États-Unis : l'administration Biden à l'offensive

"Cette dernière attaque au rançongiciel qui affecte des centaines d'entreprises est une piqure de rappel pour le gouvernement américain, qui doit lutter contre ces groupes cybercriminels étrangers", a jugé de son côté Christopher Roberti, chargé de la cybersécurité à la Chambre de commerce américaine.

L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) "surveille de près la situation", selon Eric Goldstein, l'un de ses responsables. 

"Nous travaillons avec Kaseya et nous coordonnons avec le FBI pour mener des actions de sensibilisation auprès des victimes susceptibles d'être touchées", a-t-il ajouté.

"Une logique d'extorsion"

La nature de l'attaque est similaire à celle utilisée avec l'éditeur de logiciels de gestion informatique SolarWinds, qui avait touché en 2020 des organisations gouvernementales et des entreprises américaine.

Sauf que cette dernière, imputée par Washington aux services secrets russes, était plutôt "dans une logique d'espionnage, alors qu'on est là dans une logique d'extorsion", souligne Gérome Billois, expert en cybersécurité du cabinet de conseil Wavestone.

Selon Huntress Labs, à en croire les méthodes utilisées, les notes de rançongiciel et l'adresse internet fournie par les hackers, c'est un affilié au groupe de hackeurs connu sous les noms de REvil ou Sodinokibi qui serait à l'origine de ces intrusions.

L'attaque lancée vendredi est "l'une des plus importantes et étendues que j'ai vues dans ma carrière", estime Alfred Saikali, du cabinet d'avocat Shook, Hardy & Bacon, qui a l'habitude de traiter ce genre de situations.

Il est en général recommandé de ne pas payer la rançon, souligne-t-il. Mais parfois, en particulier quand les données ne peuvent pas être sauvegardées, "il n'y a pas le choix", reconnaît-il.

Avec AFP