Cyberattaque mondiale : pourquoi ne sait-on pas encore qui sont les hackers responsables ?
L'attaque lancée
vendredi 12 mai 2017 a touché 200.000 personnes.
Attaque informatique mondiale : l'attaque du directeur général France de Kaspersky.
Une date dans l'histoire du piratage informatique.
Le monde fait face depuis vendredi 12 mai 2017 à une cyberattaque inédite : "C'est extrêmement rare ; nous sommes face à un phénomène d'une ampleur exceptionnelle", affirme le directeur général France de la société de sécurité informatique Kaspersky.
Dans ce décryptage à l'affaire du ransomware, Tanguy de Coatpont explique notamment pourquoi il est trop tôt pour savoir qui est derrière cette opération ayant touché 200.000 personnes sur la planète, "un nombre qui s'incrémente d'heure en heure", souffle l'informaticien.
Question : L'attaque a commencé vendredi 12 mai 2017.
Lundi, on ne sait toujours pas qui sont les hackers responsables. Faut-il s'en étonner ?
Tanguy de Coatpont : Il y a peu d'éléments qui permettraient de dire d'ores et déjà qui est derrière cette attaque. Mais partout dans le monde, les équipes de chercheurs en sécurité informatique sont en train d'analyser les échantillons du malware, le logiciel malveillant qui est à l'origine de ce cyberpiratage mondial, pour remonter la piste. Nous devrions en savoir davantage dans les prochaines heures.
Question : : Quels éléments peuvent aider à remonter la piste ?
Tanguy de Coatpont : Ce peut être les adresses IP et les noms de domaine des serveurs qui ont servi à lancer l'attaque. Ils peuvent permettre de remonter jusqu'aux personnes qui sont les propriétaires de ces serveurs, ou qui les louent.
Il y a aussi le mode opératoire : chaque hacker ou groupe de hackers a sa "façon de faire", une sorte de signature qui permet de le reconnaître.
Une société de sécurité informatique comme Kaspersky peut alors associer une attaque à une autre, plus ancienne, qui lui ressemble et qu'elle a traité dans le passé.
Cela permet de remonter la piste de son auteur.
Tanguy de Coatpont : Non. Nous avons affaire à une attaque qui n'est pas très sophistiquée. Rappelons que le virus se propage par le biais de documents attachés à des emails, c'est une forme de phishing (hameçonnage en français). Si elle a marché avec une telle ampleur, c'est parce qu'elle exploite une faille de sécurité qui était inconnue de Microsoft et qui affecte son système d'exploitation Windows. Cette faille a été détectée par un groupe de hackers, connus sous le nom de Shadow Brokers. Il semble qu'ils aient d'abord essayé de vendre cette information. N'y étant pas parvenus, ils l'ont livrée sur la place publique, en la publiant sur le web. Microsoft a découvert de cette façon cette faille. Ce dernier a été réactif, et a aussitôt publié un "patch" correctif permettant de résoudre le problème pour Windows 10, la dernière version de leur système d'exploitation.
Cela a été fait dès le début du mois d'avril.
Question : Mais si Microsoft a bien réagi, pourquoi l'attaque a-t-elle prise une telle ampleur ?
Tanguy de Coatpont : Parce que les entreprises qui utilisent le système d'exploitation de Microsoft pour leur parc informatique mettent du temps à appliquer ce type de recommandations. Par exemple, les services informatiques doivent valider ces "patchs", pour voir s'ils sont compatibles avec leurs services. Bref, cela prend du temps. Rajoutez à cela que beaucoup de société travaillent avec d'anciens systèmes d'exploitation de Microsoft (comme Windows XP), pour lesquels le "patch" mis en place début avril était sans effet. Signe de la gravité de l'attaque, Microsoft a depuis décidé de faire une mise à jour de ses anciennes versions de ses OS. A noter que si les particuliers sont moins touchés par l'attaque, c'est aussi parce que les mises à jours logicielles des ordinateurs individuels se font de façon automatisées.
Question : Depuis quelques mois, la question des cyberattaques est sur le devant de la scène. Elle est souvent associée aux Russes. Peut-on les suspecter dans le cas présent ?
Tanguy de Coatpont : La seule réponse que je peux faire à cet égard est que les Russes ont été sévèrement impactés par l'attaque. S'ils en étaient les responsables, on peut penser qu'ils auraient mis en place les moyens d'en réchapper. Néanmoins, on sait que le ransomware est une spécialité des pays de l'est...
Question : L'affaire prend néanmoins une tournure polémique...
Tanguy de Coatpont : Oui, car si Microsoft n'était pas au courant de l'existence de cette faille informatique sur son système d'exploitation, la NSA, l'Agence nationale de la sécurité des Etats-Unis, l'était. Pourquoi ne pas l'avoir communiqué à Microsoft ?
C'est la question qu'a publiquement posé Brad Smith, président de Microsoft, sur une note de blog, pointant ainsi la responsabilité de la NSA dans la crise actuelle.
Même si l'on comprend bien que l'Agence exploite elle-même ce type de faille pour ses propres opérations...
L'attaque lancée
vendredi 12 mai 2017 a touché 200.000 personnes.
Mais on ne sait
toujours pas qui est derrière.
Pourquoi ?
Les réponses de Tanguy de
Coatpont, directeur général France de Kaspersky, société spécialisée
dans la cybersécurité.
Une date dans l'histoire du piratage informatique.
Le monde fait face depuis vendredi 12 mai 2017 à une cyberattaque inédite : "C'est extrêmement rare ; nous sommes face à un phénomène d'une ampleur exceptionnelle", affirme le directeur général France de la société de sécurité informatique Kaspersky.
Dans ce décryptage à l'affaire du ransomware, Tanguy de Coatpont explique notamment pourquoi il est trop tôt pour savoir qui est derrière cette opération ayant touché 200.000 personnes sur la planète, "un nombre qui s'incrémente d'heure en heure", souffle l'informaticien.
Question : L'attaque a commencé vendredi 12 mai 2017.
Lundi, on ne sait toujours pas qui sont les hackers responsables. Faut-il s'en étonner ?
Tanguy de Coatpont : Il y a peu d'éléments qui permettraient de dire d'ores et déjà qui est derrière cette attaque. Mais partout dans le monde, les équipes de chercheurs en sécurité informatique sont en train d'analyser les échantillons du malware, le logiciel malveillant qui est à l'origine de ce cyberpiratage mondial, pour remonter la piste. Nous devrions en savoir davantage dans les prochaines heures.
Question : : Quels éléments peuvent aider à remonter la piste ?
Tanguy de Coatpont : Ce peut être les adresses IP et les noms de domaine des serveurs qui ont servi à lancer l'attaque. Ils peuvent permettre de remonter jusqu'aux personnes qui sont les propriétaires de ces serveurs, ou qui les louent.
Il y a aussi le mode opératoire : chaque hacker ou groupe de hackers a sa "façon de faire", une sorte de signature qui permet de le reconnaître.
Une société de sécurité informatique comme Kaspersky peut alors associer une attaque à une autre, plus ancienne, qui lui ressemble et qu'elle a traité dans le passé.
Cela permet de remonter la piste de son auteur.
"La NSA connaissait cette faille du système d'exploitation de Microsoft. Pourquoi n'a-t-elle rien dit ?"
Question : Cette attaque est inédite dans son ampleur. L'est-elle dans sa forme ?Tanguy de Coatpont : Non. Nous avons affaire à une attaque qui n'est pas très sophistiquée. Rappelons que le virus se propage par le biais de documents attachés à des emails, c'est une forme de phishing (hameçonnage en français). Si elle a marché avec une telle ampleur, c'est parce qu'elle exploite une faille de sécurité qui était inconnue de Microsoft et qui affecte son système d'exploitation Windows. Cette faille a été détectée par un groupe de hackers, connus sous le nom de Shadow Brokers. Il semble qu'ils aient d'abord essayé de vendre cette information. N'y étant pas parvenus, ils l'ont livrée sur la place publique, en la publiant sur le web. Microsoft a découvert de cette façon cette faille. Ce dernier a été réactif, et a aussitôt publié un "patch" correctif permettant de résoudre le problème pour Windows 10, la dernière version de leur système d'exploitation.
Cela a été fait dès le début du mois d'avril.
Question : Mais si Microsoft a bien réagi, pourquoi l'attaque a-t-elle prise une telle ampleur ?
Tanguy de Coatpont : Parce que les entreprises qui utilisent le système d'exploitation de Microsoft pour leur parc informatique mettent du temps à appliquer ce type de recommandations. Par exemple, les services informatiques doivent valider ces "patchs", pour voir s'ils sont compatibles avec leurs services. Bref, cela prend du temps. Rajoutez à cela que beaucoup de société travaillent avec d'anciens systèmes d'exploitation de Microsoft (comme Windows XP), pour lesquels le "patch" mis en place début avril était sans effet. Signe de la gravité de l'attaque, Microsoft a depuis décidé de faire une mise à jour de ses anciennes versions de ses OS. A noter que si les particuliers sont moins touchés par l'attaque, c'est aussi parce que les mises à jours logicielles des ordinateurs individuels se font de façon automatisées.
Question : Depuis quelques mois, la question des cyberattaques est sur le devant de la scène. Elle est souvent associée aux Russes. Peut-on les suspecter dans le cas présent ?
Tanguy de Coatpont : La seule réponse que je peux faire à cet égard est que les Russes ont été sévèrement impactés par l'attaque. S'ils en étaient les responsables, on peut penser qu'ils auraient mis en place les moyens d'en réchapper. Néanmoins, on sait que le ransomware est une spécialité des pays de l'est...
Question : L'affaire prend néanmoins une tournure polémique...
Tanguy de Coatpont : Oui, car si Microsoft n'était pas au courant de l'existence de cette faille informatique sur son système d'exploitation, la NSA, l'Agence nationale de la sécurité des Etats-Unis, l'était. Pourquoi ne pas l'avoir communiqué à Microsoft ?
C'est la question qu'a publiquement posé Brad Smith, président de Microsoft, sur une note de blog, pointant ainsi la responsabilité de la NSA dans la crise actuelle.
Même si l'on comprend bien que l'Agence exploite elle-même ce type de faille pour ses propres opérations...
Commentaires
Enregistrer un commentaire
Merci de commenter l'article