La société informatique américaine Kaseya espérait redémarrer ses serveurs mardi pour permettre à ses milliers de clients d’accéder «au plus vite» à leurs services en ligne, après une cyberattaque massive au «rançongiciel» qui pourrait avoir affecté jusqu’à 1.500 entreprises dans le monde depuis vendredi. Selon l’entreprise qui fournit des services informatiques à quelque 40.000 entreprises dans 20 pays dans le monde, seuls 60 de ses clients directs ont été touchés par la cyberattaque qui a notamment contraint une chaîne de supermarchés suédoise à fermer ses portes depuis vendredi soir. En ajoutant les victimes indirectes, à savoir les clients de ses clients, «nous pensons que moins de 1.500 entreprises au total ont été touchées», a déclaré Kaseya. L’attaque, qui a vu les pirates exiger 70 millions de dollars en bitcoins en échange de la restitution des données volées, a touché les utilisateurs du logiciel VSA destiné à gérer à distance des réseaux de serveurs, ordinateurs et imprimantes. Kaseya a annoncé qu’elle se préparait à diffuser un correctif à ses clients pour leur permettre de remettre leurs services en ligne. Il sera diffusé 24 heures après la remise en ligne des serveurs de Kaseya qui fournissent le logiciel. La chaîne de supermarchés suédoise Coop figure parmi les victimes indirectes de l’attaque, ses caisses étant paralysées depuis vendredi, lorsque son sous-traitant informatique, Visma Esscom, a été touché. Mardi matin, la majorité des quelque 800 magasins Coop étaient toujours fermés, bien que la chaîne ait indiqué lundi avoir pu en rouvrir «quelques centaines». «Avant la fin de la journée, nous espérons qu’il y aura plus de magasins ouverts que de magasins fermés», a déclaré Tarik Belqaid, attaché de presse de Coop, mardi à la chaîne de télévision SVT. Le FBI a ouvert une enquête et travaille avec l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) et d’autres agences «pour comprendre l’ampleur» de cette attaque. «C’est probablement la plus grande attaque au rançongiciel de tous les temps», a affirmé Ciaran Martin, professeur de cybersécurité à l’université d’Oxford. Selon plusieurs experts, celle-ci a été menée par un affilié au groupe de hackers russophones connu sous le nom de REvil. Une revendication publiée sur le blog du darknet «Happy Blog», associé dans le passé à REvil, réclame le paiement d’une rançon de 70 millions de dollars en bitcoins pour rendre publique la clef de déchiffrement. Jacques de la Rivière, directeur général de la firme de cybersécurité française Gatewatcher, s’interroge sur cette demande de rançon unique: «les victimes ne vont jamais se cotiser pour avoir la clef de chiffrement» et les pirates «n’auront jamais aucune rémunération» pour cette attaque. Pour lui, les auteurs de l’attaque ont peut-être agi «dans la précipitation», pour ne pas être doublés par d’autres pirates également au courant de la faille. «Comme il y a de plus en plus d’acteurs» qui cherchent à mener des attaques par rançongiciels, vu la rentabilité de ces opérations, «cela tourne à la foire d’empoigne et les types font n’importe quoi pour être les premiers à exploiter une faille», analyse-t-il. «Notre hypothèse c’est que REvil va disparaître, et que c’est en fait son dernier coup d’éclat, qu’il touche de l’argent ou pas» du fait de l’attaque, indique aussi Robinson Delaugerre, qui dirige les équipes de cyber-pompiers d’Orange Cyberdéfense. Selon lui, les hackers pourrait ainsi effacer toutes leurs traces numériques, prendre quelques semaines de vacances, et repartir sous un autre nom. Les attaques par rançongiciel sont devenues fréquentes et les Etats-Unis ont été particulièrement frappés ces derniers mois par des assauts touchant aussi bien des grandes entreprises comme le géant de la viande JBS ou le gestionnaire d’oléoducs Colonial Pipeline, que des collectivités locales et des hôpitaux.
