(MAJ) « Toutes les versions de Windows semblent pouvoir être affectées dans la mesure où des outils d'administration classiques sont utilisés pour la latéralisation. Les serveurs ainsi que les postes de travail font donc partie du périmètre d'infection possible » : les premières conclusions de l’Anssi suite à la dernière attaque de ransomware, celle de Petya, sont sans équivoque et appellent à la plus grande prudence. Débutée en Ukraine et en Europe du Nord, l’infection s’est rapidement répandue sur l'ensemble de l’Europe et ensuite du monde en exploitant la même faille du protocole SMB de Windows (XP, 8 et Server 2003) utilisée par WannaCry il y a deux semaines, mais aussi en utilisant les logins et mots de passe récupérés dans les machines affectées. Fireye arrive au même conclusion en indiquant que «l'analyse initiale des artefacts et du trafic réseau sur les réseaux de victimes indique qu'une version modifiée de l'exploit SMB EternalBlue a été utilisée, au moins en partie, pour se propager latéralement avec les commandes WMI, MimiKatz et PSExec pour propager d'autres systèmes ».
En France, les principales entreprises à avoir été touchées sont Saint-Gobain, une filiale immobilière de BNP Paribas et le fabricant d’emballage en verre Verailla dont la capacité de production n’a pas été impactée. La SNCF a également été pointée du doigt mais Guillaume Pepy, son PDG, a démenti l’information ce jeudi matin. Quant à Auchan, annoncé comme une des principales victimes françaises, seuls les terminaux de paiement de ses magasins ukrainiens ont été touchés.
Les petites entreprises également concernées
L’impact de cette attaque sur la productivité des entreprises semble moins important que WannaCry qui avait immobilisé plusieurs usines, dont une de Renault. Si plusieurs équipes de Saint-Gobain sont restées au chômage technique mercredi, ses points de ventes comme Point P ont pu fonctionner presque normalement.
Toutefois, ce n’est là que la face émergée de l’iceberg. « Nous parlons surtout des grandes entreprises mais de très nombreuses PME sont souvent touchées et ne le disent pas, voire payent en espérant récupérer leurs données. Et le potentiel d’impact de ce genre d’attaques est encore énorme », nous expliquait ce matin Franck Charvet, directeur des ventes de Bit Defender qui, comme après chaque attaque, a reçu plusieurs dizaines de sollicitations d’entreprises voulant se doter d’antivirus. Petya s’est répandue en partie grâce à la même faille que WannaCry, cela veut dire que des PC n’avaient toujours pas été mis à jour. Le fait que les ordinateurs de bord du dernier porte-aéronefs de la marine britannique, le HMS Queen-Elizabeth, qui sort tout juste de chantier, tournent sous Windows XP traduit bien la différence qui existe entre les bonnes pratiques et leur application. L'Anssi le rappelle, la mise à jour MS17-010 doit absolument être faite.
10 000$ récoltés jusqu'à présent
En outre, F-Secure juge les hackers derrières Petya plus professionnels que ceux de WannaCry qui avaient moins ciblé leurs attaques. Ils semblent être plus efficaces dans la gestion des rançons. D’après l’éditeur, 30 entreprises avaient déjà payé mercredi, sans que l’on sache si leurs données avaient été restituées. De son côté, Check Point assure que les hackers auraient déjà récupéré près de 10 000$ (3,874 bitcoins), ce qui n’est pas énorme au regard de l’ampleur de l’attaque qui est toutefois toujours en court. Pour rappel, l’Anssi déconseille fortement de payer.