Méga-virus: plusieurs grandes entreprises victimes d'une cyberattaque mondiale, la Belgique également frappée

Une vague massive de cyberattaques rappelant le mode opératoire du virus WannaCry en mai s'étendait mardi à plusieurs multinationales européennes et américaines après avoir frappé des entreprises majeures et structures gouvernementales en Ukraine et Russie.

Belga et AFP

La cyberattaque qui a initialement visé la Russie et l'Ukraine se répand également ailleurs dans le monde. L'armateur danois Maersk, qui opère notamment à partir du port de Zeebruges, et l'entreprise pharma MSD active en Belgique ont également été touchés. Pour le reste, le Centre pour la Cybersécurité (CCB) a recensé cinq entreprises attaquées, dont deux cas font l'objet d'une investigation. La Federal Computer Crime Unit (FFCU) n'a quant à elle pas encore reçu de signalement, indique son directeur Walter Coenraets. La cyberattaque a frappé dans un premier temps les autorités ukrainiennes et le géant énergétique russe Rosneft. Les pirates se cachant derrière le virus Petrwrap, une version modifiée du ransonware Petya, exigent 300 dollars par ordinateur contaminé, selon la société russe spécialisée en piratage informatique Group-IB.

En Belgique, Maersk, via sa filiale APM, éprouve actuellement des difficultés à opérer sur ses terminaux à Zeebruges. "Le système informatique qui gère ces opérations est actuellement hors service. Nous devons tout faire manuellement", explique Joachim Coens, directeur du port brugeois.

Le producteur de médicaments MSD rencontre également des problèmes, a confirmé son directeur de la communication. MSD est une filiale du géant Merck, qui a été la première atteinte par le virus sur le sol américain.

L'entreprise alimentaire Mondelez est aussi confrontée à des problèmes informatiques, rapporte De Tijd.

Le Centre pour la Cybersécurité a été contacté mardi par cinq entreprises. Deux cas font l'objet d'une enquête, a précisé Miguel de Bruycker, le directeur du CCB. "Nous sommes confrontés à un ransomware agressif qui s'infiltre rapidement dans les réseaux", explique-t-il.

Contactée par l'agence Belga, la Computer Crime Unit indique ne pas encore avoir connaissance d'autres entreprises belges infectées. "Nous sommes en train d'analyser des samples pour déterminer d'où provient ce virus", explique le directeur de l'unité, Walter Coenraets.

Selon les informations dont dispose la FCCU, la cyberattaque en cours pourrait également avoir comme origine les vulnérabilités que la NSA avait découvertes au sein du système d'exploitation Windows XP et qui ont fuité malgré elle. "Ce type d'attaques pourrait se multiplier à l'avenir", prévient Olivier Bogaert, commissaire à la FCCU.

Les entreprises ou personnes privées attaquées par le virus peuvent se rendre sur le site de la Federal Cyber Emergency Team (cert.be) afin de se renseigner ou de déposer plainte. La FCCU est à la recherche de samples du ransomware afin de pouvoir l'analyser.

Un virus nommé "Petwrap"

La vague massive de cyberattaques rappelant le mode opératoire du virus WannaCry en mai s'étendait également mardi à plusieurs multinationales européennes et américaines après avoir frappé des entreprises majeures et structures gouvernementales en Ukraine et Russie.

Après avoir obligé le géant pétrolier russe Rosneft à passer sur un serveur de secours et la centrale nucléaire ukrainienne de Tchernobyl à revenir à des mesures manuelles du niveau de radioactivité, le "ransonware" (rançongiciel) Petrwrap causait des pannes informatiques chez le transporteur maritime Maersk, coupait le courant chez le propriétaire des biscuits Lu et Oreo et contraignait des salariés allemands de Nivea à rentrer chez eux plus tôt.

Le laboratoire pharmaceutique Merck est devenu la première victime connue aux Etats-Unis, son système informatique ayant été "compromis".

Le virus "se répand dans le monde entier, un grand nombre de pays sont affectés", a prévenu sur Twitter Costin Raiu, chercheur du laboratoire russe Kaspersky. Selon lui, l'Ukraine est le pays le plus touché devant la Russie et dans une moindre mesure la Pologne et l'Italie.

Des informations rapportées par plusieurs entreprises ciblées par ces attaques simultanées faisaient état d'un virus faisant apparaître une demande de rançon de 300 dollars en monnaie virtuelle sur l'écran de leurs ordinateurs.

Selon plusieurs spécialistes de cybersécurité, le virus responsable, "Petrwrap", est une version modifiée du ransonware Petya qui avait frappé l'an dernier.

Il a frappé en Russie et Ukraine des dizaines de cibles aussi variées que des banques, Mars, Nivea, Auchan et des structures gouvernementales ukrainiennes, a ainsi indiqué Group-IB.

Le 12 mai, un autre rançongiciel, "Wannacry", avait affecté des centaines de milliers d'ordinateurs dans le monde, paralysant notamment les services de santé britanniques et des usines du constructeur automobile français Renault. Ses auteurs réclamaient une rançon pour débloquer les appareils.

L'éditeur américain d'antivirus Symantec avait mis en cause le groupe de pirates informatiques Lazarus, soupçonné d'avoir partie liée avec la Corée du Nord.

Techniciens à Tchernobyl

En Ukraine, le Premier ministre Volodymyr Groïsman a évoqué une attaque "sans précédent". "Les banques éprouvent des difficultés à prendre en charge leurs clients et faire des opérations bancaires", a indiqué la banque centrale.

Le site du gouvernement ukrainien a été bloqué, tout comme celui de la centrale Tchernobyl, où s'est produite en avril 1986 la pire catastrophe nucléaire de l'histoire.

En raison de pannes informatiques, la mesure du niveau de radiation sur le site, à l'arrêt total depuis 2000, se faisait "manuellement".

"Cela veut dire que nos techniciens mesurent la radioactivité avec des compteurs Geiger sur le site de la centrale, comme on le faisait il y a des dizaines d'années", a déclaré Olena Kovaltchouk, la porte-parole de l'Agence gouvernementale de gestion de la zone d'exclusion de Tchernobyl, ajoutant ne pas savoir quand un retour à la normale serait possible.

A Kiev, les usagers du métro ne pouvaient plus acheter de tickets par carte bancaire tandis qu'à l'aéroport Borispil de Kiev, la plupart des panneaux d'affichage étaient éteints.

"La principale version de l'enquête se concentre sur la piste russe", a déclaré le procureur général militaire ukrainien Anatoli Matios, cité par l'agence Interfax-Ukraine.

La Russie a pourtant été directement frappée. Sa banque centrale a fait état d'établissements financiers infectés, sans que leur fonctionnement ne soit perturbé.

Rosneft, l'un des plus gros producteurs de pétrole au monde, a indiqué que sa production n'avait pas été interrompue grâce à un serveur de secours. Le sidérurgiste Evraz a également subi une attaque, a indiqué un porte-parole à l'agence Ria-Novosti.

En Europe, plusieurs multinationales se sont dites affectées, notamment le transporteur maritime danois Maersk ou le géant britannique de la publicité WPP.

En France, les sites officiels du groupe de matériaux de construction Saint-Gobain n'étaient pas accessibles, un porte-parole indiquant que les systèmes informatiques avaient été "isolés" par mesure de sécurité.

Des employés de sa filiale Point P, dans le nord de la France, ont reçu un message leur demander de déconnecter leur ordinateur du réseau.

Et en Allemagne, selon la chaîne de télé régionale NDR, "plus rien ne fonctionne au siège" de Beiersdorf, le fabricant de la crème Nivea et de nombreux salariés ont dû rentrer chez eux.

"Le phénomène des ransomwares se démocratise. Ces vagues d'attaques virales, on va en avoir beaucoup dans les prochains mois", a prévenu le colonel Nicolas Duvinage, chef du Centre de lutte contre les criminalités numériques (C3N) de la Gendarmerie Nationale française, interrogé par l'AFP.