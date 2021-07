Cyberattaque géante : Kaseya peine à redémarrer ses serveurs en toute sécurité

Quelque 1500 entreprises ont été affectées par la cyberattaque. La société informatique Kaseya dit faire de son mieux pour réduire le délai de remise en service.

«Dégâts minimes»

Les attaques par rançongiciel, quand un pirate crypte les données d’une entreprise et demande une rançon pour les débloquer, sont devenues fréquentes. Les États-Unis ont été particulièrement frappés ces derniers mois par des assauts touchant de grandes entreprises comme le géant de la viande JBS ou le gestionnaire d’oléoducs Colonial Pipeline, mais aussi des collectivités locales et des hôpitaux.

Discussions entre Moscou et Washington

Selon de nombreux experts, les pirates à l’origine de cyberattaques par rançongiciel sont souvent installés en Russie et celle contre Kaseya a été menée par un affilié au groupe de hackers russophones connu sous le nom de REvil.

Comme elle s’est démultipliée en visant une entreprise fournissant des services informatiques à de nombreuses autres sociétés, «c’est probablement la plus grande attaque au rançongiciel de tous les temps», a affirmé Ciaran Martin, professeur de cybersécurité à l’université d’Oxford.

Une revendication publiée dimanche sur le blog du darknet «Happy Blog», associé dans le passé à REvil, réclame le paiement d’une rançon de 70 millions de dollars en bitcoins pour rendre publique la clef de déchiffrement. Les hackers y affirment avoir atteint «un million d’appareils et de réseaux».

La porte-parole de la Maison-Blanche, Jen Psaki, a indiqué mardi que suite à un entretien entre les présidents Joe Biden et Vladimir Poutine mi-juin sur le sujet, des discussions entre des experts de haut niveau des deux pays se sont engagées. Il est prévu dans ce cadre une nouvelle réunion la semaine prochaine «qui sera dédiée aux attaques par rançongiciel», a-t-elle ajouté.

Foire d’empoigne

L’attaque a touché les utilisateurs du logiciel VSA de Kaseya destiné à gérer à distance des réseaux de serveurs, ordinateurs et imprimantes.

Dans son message de 16 h 00 GMT (18 h 00 suisses) mardi, l’entreprise prévoyait de remettre en route ses serveurs pour les clients utilisant son logiciel à distance entre 20 h 00 et 23 h 00 GMT. Elle souhaitait ensuite diffuser «dans les 24 heures» un correctif pour les clients utilisant son logiciel directement sur leurs appareils.

Jacques de La Rivière, directeur général de la firme de cybersécurité française Gatewatcher, s’interroge sur le fait que REvil ait demandé une rançon unique. «Les victimes ne vont jamais se cotiser pour avoir la clef de chiffrement» et les pirates «n’auront jamais aucune rémunération» pour cette attaque. Pour lui, les auteurs de l’attaque ont peut-être agi «dans la précipitation», pour ne pas être doublés par d’autres pirates également au courant de la faille. «Comme il y a de plus en plus d’acteurs» qui cherchent à mener des attaques par rançongiciels, vu la rentabilité de ces opérations, «les types font n’importe quoi pour être les premiers à exploiter une faille», analyse-t-il.