Etats-Unis : ce que l'on sait de la cyberattaque qui a visé la société Kaseya et menace un millier d'entreprises dans le monde

Publié le 04/07/2021

Il est difficile pour l’instant d’estimer l’ampleur de cette attaque par rançongiciel, qui a déjà provoqué la fermeture de 800 magasins d’une enseigne suédoise de supermarchés.

Le long week-end des festivités du 4-Juillet aurait pu mieux commencer aux Etats-Unis. A la veille de la fête nationale, la société Kaseya, qui édite des logiciels de gestion de réseau informatique pour les entreprises, a annoncé être victime d’une « cyberattaque sophistiquée ». Kaseya a demandé à quelque 40 000 clients de déconnecter immédiatement son logiciel VSA. Mais une quarantaine de ses clients ont tout de même été affectés, a-t-elle précisé dans un communiqué (en anglais), samedi 3 juillet. Plus de mille entreprises elles-mêmes clientes de cette quarantaine de sociétés touchées risquent d’être victimes de tentatives d’extorsion.

« C’est probablement la plus grande attaque par rançongiciel que nous ayons vue, en tout cas la plus grande depuis WannaCry », a commenté Allan Liska, spécialiste des attaques par rançongiciel dans la société de cybersécurité américaine Recorded Future, cité par le Washington Post (en anglais). Lancée en 2017, la cyberattaque WannaCry a fait plus de 200 000 victimes et mis une usine Renault à l’arrêt.

Voici ce que l’on sait de cette nouvelle cyberattaque, dont l’ampleur est encore difficile à mesurer.

Un mode opératoire connu

Le mode opératoire est classique : les pirates ont ciblé une société relais, Kaseya, pour toucher à travers elle un nombre important de structures. Selon Kevin Beaumont, expert en cybersécurité, interrogé par le New York Times (en anglais), les entreprises victimes de l’attaque ont reçu, au lieu de la mise à jour du logiciel VAS de Kaseya, un rançongiciel, un logiciel malveillant pouvant être déclenché à distance et capable de paralyser les systèmes informatiques en chiffrant leurs données.

Les pirates auraient profité d’une faille de sécurité pour mener à bien leur opération. Des chercheurs néerlandais ont déclaré samedi avoir signalé en amont de l’attaque "de graves vulnérabilités" à Kaseya (en anglais). Selon le New York Times, Kaseya travaillait encore sur un correctif lorsque ses mises à jour ont été compromises.

En 2020, une cyberattaque par rançongiciel avait déjà touché, de manière similaire, l’éditeur de logiciels de gestion informatique SolarWinds. Par ricochet, plusieurs organisations gouvernementales et entreprises américaines avaient été affectées. Toutefois, cette dernière, imputée par Washington aux services secrets russes, s’inscrivait davantage « dans une logique d’espionnage, alors qu’on est là dans une logique d’extorsion », pointe Gérome Billois, expert en cybersécurité du cabinet de conseil Wavestone, auprès de l’AFP.

Après avoir bloqué l’accès aux données, les cybercriminels font pression sur leurs cibles : si elles souhaitent en récupérer l’accès ou ne souhaitent pas voir certaines de leurs données publiées sur internet, elles doivent payer. Selon le Washington Post (en anglais), des sociétés victimes de telles attaques se sont vu réclamer des sommes allant jusqu’à 5 millions de dollars.

Déjà des magasins paralysés

L’attaque a été diligentée à la veille d’un long week-end de fête nationale. Le meilleur moment pour prendre au dépourvu les équipes des sociétés visées et permettre au rançongiciel de multiplier les dégâts en allongeant le délai d’intervention. De sorte que l’ampleur des dommages est encore difficilement mesurable. « Je ne serais pas surpris qu’il s’agisse de milliers d’entreprises », avance Fabian Wosar, directeur technique d’Emsisoft, une société qui propose une entreprise des solutions contre les attaques de rançongiciels, auprès du Washington Post.

Comme la quarantaine d’entreprises affectées fournissent des services à d’autres sociétés, les dégâts de l’attaque pourraient être conséquents et mondiaux. « En se basant sur le nombre de fournisseurs de services informatiques qui nous demandent de l’aide et les commentaires que nous voyons sur ce fil, il est raisonnable de penser que cela pourrait potentiellement avoir un impact sur des milliers de petites entreprises », a avancé la société Huntress Labs, spécialisée dans l’aide aux entreprises victimes de cyberattaques, dans un message sur le forum Reddit (en anglais). L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a déclaré qu’elle surveillait de près la situation et travaille avec le FBI et la société Kaseya pour aider les entreprises susceptibles d’avoir été touchées.

En Suède, la grande chaîne de supermarchés Coop a dû fermer samedi plus de 800 magasins, ses caisses étant paralysées. Son système informatique interne avait été touché par l’attaque, a précisé la chaîne sur sa page Facebook (en suédois). La télévision publique suédoise, SVT (en suédois) annonce que la chaîne de pharmacies Apotek Hjärtat et la société énergétique finlandaise ST1 sont également atteintes. « Dans certains cas, ils ont constaté qu’un fichier texte était apparu sur le bureau de certains ordinateurs, demandant une rançon », rapporte le média.

Une menace grandissante

Cette cyberattaque est loin d’être une exception. Ces dernières années, les attaques par rançongiciel sont devenues fréquentes. En 2020, le nombre de ces opérations a enregistré une augmentation de 485% par rapport à l’année 2019, selon le rapport annuel (en anglais, PDF) de l’entreprise Bitdefender, spécialiste de l’antivirus.

Cette tendance se poursuit en 2021. Rien qu’aux Etats-Unis, le géant brésilien de la viande JBS, le gestionnaire d’oléoducs Colonial Pipeline, ou encore des collectivités locales et hôpitaux ont été victimes d’attaques du même type. Le gouvernement américain exhorte à présent les entreprises américaines à renforcer leur sécurité informatique. « Cette dernière attaque au rançongiciel qui affecte des centaines d’entreprises est une piqûre de rappel pour le gouvernement américain, qui doit lutter contre ces groupes cybercriminels étrangers », a réagi Christopher Roberti, chargé de la cybersécurité à la Chambre de commerce américaine.

Le groupe russe REvil pointé du doigt

Selon de nombreux experts, des pirates russes pourraient se trouver derrière cette attaque. Pour Huntress Labs, les méthodes, notes de rançongiciel et l’adresse internet fournie par les hackers, sont similaires à celles employées par un groupe de pirates russophones connu sous les noms de REvil ou Sodinokibi. Cette organisation, active depuis 2019 est soupçonnée d’avoir attaqué la société brésilienne JBS un mois auparavant. La multinationale avait payé 11 millions de dollars en bitcoin aux pirates pour limiter les dommages, rapporte The Wall Street Journal (en anglais).

Le président Joe Biden a ordonné une enquête et affirmé que « la première réflexion était qu’il ne s’agissait pas du gouvernement russe, mais nous ne sommes pas encore sûrs ». « S’il s’avère que cela s’est produit alors que la Russie en avait connaissance ou que c’est du fait de la Russie, alors je dis à Poutine que nous répondrons », a-t-il assuré. Moscou, suspecté de couvrir, voire d’être associé, à l’activité de pirates russes, dément toute implication. La question des cyberattaques avait longuement été abordée par les deux présidents lors de leur rencontre mi-juin.

En savoir plus …