Des hackers ont attaqué la société américaine Kaseya juste avant un week-end prolongé pour demander une rançon à potentiellement plus de 1000 entreprises à travers son logiciel de gestion informatique.
Première conséquence directe: une grande chaîne de supermarchés en Suède a dû fermer samedi plus de 800 magasins, ses caisses étant paralysées par l’attaque. Selon de nombreux experts, les pirates à l’origine de ce type d’attaque par rançongiciel sont souvent installés en Russie. Moscou, suspecté de couvrir voire d’être associé à leurs activités, dément toute implication.
Mais le phénomène prend une telle ampleur qu’il a été un des points principaux soulevé par le président américain Joe Biden lors de sa rencontre mi-juin avec son homologue russe Vladimir Poutine. Joe Biden, qui a ordonné samedi une enquête, a affirmé que « la première réflexion était qu’il ne s’agissait pas du gouvernement russe, mais nous ne sommes pas encore sûrs ». « J’en saurai plus demain », a-t-il dit, et s’il s’avère que cela s’est produit alors que la Russie en avait connaissance et/ou que c’est du fait de la Russie, alors j’ai dit à Poutine que nous répondrons », a-t-il déclaré.
Il est difficile pour l’instant d’estimer l’ampleur de cette attaque par rançoncigiel, ou « ransomware », un type de programme informatique qui paralyse les systèmes informatiques d’une entreprise puis exige une rançon pour les débloquer. Kaseya, qui s’est rendue compte vendredi à la mi-journée sur la côte est-américaine d’un possible incident sur son logiciel VSA, a assuré qu’elle avait été circonscrite « à moins de 40 clients dans le monde ». Mais ces derniers fournissent eux-mêmes des services à d’autres sociétés, ce qui permet aux pirates de démultiplier leur attaque.
Selon l’entreprise spécialisée dans la sécurité informatique Huntress Labs, « plus de 1000 entreprises » ont été affectées par ce rançongiciel.
« En se basant sur le nombre de fournisseurs de services informatiques qui nous demandent de l’aide et les commentaires que nous voyons sur ce fil, il est raisonnable de penser que cela pourrait potentiellement avoir un impact sur des milliers de petites entreprises », avance même Huntress Labs dans un message sur le forum Reddit. « On n’a pour le moment aucune donnée sur le nombre de sociétés concernées », remarque Brett Callow, expert en cybersécurité chez Emsisof. Mais l’ampleur de l’attaque est probablement « sans précédent ».
Basée à Miami, Kaseya vend des outils informatiques aux entreprises, dont le logiciel VSA destiné à gérer des réseaux de serveurs, ordinateurs et imprimantes depuis une seule source. Elle revendique plus de 40.000 clients. Les attaques par rançongiciel sont devenues fréquentes et les Etats-Unis ont été particulièrement frappés ces derniers mois par des assauts touchant aussi bien des grandes entreprises comme le géant de la viande JBS ou le gestionnaire d’oléoducs Colonial Pipeline, que des collectivités locales et des hôpitaux.
« Cette dernière attaque au rançongiciel qui affecte des centaines d’entreprises est une piqûre de rappel pour le gouvernement américain, qui doit lutter contre ces groupes cybercriminels étrangers », a jugé de son côté Christopher Roberti, chargé de la cybersécurité à la Chambre de commerce américaine.
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) « surveille de près la situation », selon Eric Goldstein, l’un de ses responsables. « Nous travaillons avec Kaseya et nous coordonnons avec le FBI pour mener des actions de sensibilisation auprès des victimes susceptibles d’être touchées », a-t-il ajouté dans un message transmis à l’AFP. La nature de l’attaque est similaire à celle utilisée avec l’éditeur de logiciels de gestion informatique SolarWinds, qui avait touché en 2020 des organisations gouvernementales et des entreprises américaines.
Sauf que cette dernière, imputée par Washington aux services secrets russes, était plutôt « dans une logique d’espionnage, alors qu’on est là dans une logique d’extorsion », souligne Gérome Billois, expert en cybersécurité du cabinet de conseil Wavestone. Selon Huntress Labs, à en croire les méthodes utilisées, les notes de rançongiciel et l’adresse internet fournie par les hackers, c’est un affilié au groupe de hackeurs connu sous les noms de REvil ou Sodinokibi qui serait à l’origine de ces intrusions. Le FBI a imputé à ce groupe la cyberattaque contre JBS fin mai.
L’attaque lancée vendredi est « l’une des plus importantes et étendues que j’ai vues dans ma carrière », estime Alfred Saikali, du cabinet d’avocat Shook, Hardy & Bacon, qui a l’habitude de traiter ce genre de situations. Il est en général recommandé de ne pas payer la rançon, souligne-t-il. Mais parfois, en particulier quand les données ne peuvent pas être sauvegardées, « il n’y a pas le choix », reconnaît-il. Si plusieurs entreprises choisissent de payer, il n’est pas sûr que le groupe de hackers « ait les capacités de gérer des conversations simultanées », remarque par ailleurs Brett Callow.
« Si elles doivent faire la queue pour négocier, le temps perdu peut revenir très cher ».
BFMBusiness