Un rançongiciel profite d'une faille de sécurité chez Kaseya

Publié le 05/07/2021 à 09:20

Un rançongiciel profite d'une faille de sécurité chez Kaseya

Publié le 05/07/2021 à 09:20

Par AFP

(Photo: 123RF)

De nombreuses entreprises à travers le monde sont victimes d’une cyberattaque géante au rançongiciel, liée à une faille de sécurité d’un logiciel très répandu de la société américaine Kaseya. Un point sur cette attaque, revendiquée par le groupe de pirates REvil.

 

Qui est Kaseya, point d’entrée de la cyberattaque?

Basée à Miami, Kaseya vend des outils informatiques aux entreprises, notamment le logiciel « VSA », destiné à gérer des réseaux de serveurs, ordinateurs et imprimantes depuis une seule source. 

Elle revendique plus de 40 000 clients dans plus de 20 pays dans le monde, présents dans de nombreux secteurs d’activité comme l’industrie manufacturière, la santé, l’éducation, les médias, ou encore la finance.

Tournée vers les entreprises de taille moyenne, Kaseya propose à ses clients de contrôler, gérer, et sécuriser tout leur système informatique de manière centralisée. « Notre mission est de vous simplifier la gestion de l’informatique », affirme-t-elle sur son site internet.

 

Combien d’entreprises sont touchées?

L’ampleur exacte des dégâts n’est pas encore connue, mais le nombre des victimes risque d’être important.

Selon la firme de cyberscurité Eset, l’attaque a fait des victimes dans au moins 17 pays. Une autre société de cybersécurité, Huntress Labs, a estimé samedi que plus de « 1 000 entreprises » étaient touchées par l’attaque.

Le groupe à l’origine de l’attaque, REvil (alias Sodinokibi), revendique lui-même un million de postes informatiques compromis, dans un billet de blog qui lui est attribué. 

« On est sur un phénomène systémique que nous redoutons tous », indique à l’AFP Loïc Guezo, secrétaire général du Clusif, une association d’experts français en cybersécurité.

« On constate par exemple que l’attaque a pu toucher une chaîne de supermarchés en Suède (NDLR Coop Suède), très loin du point d’intrusion initial » des pirates (la société Kaseya).

La plupart des 800 magasins de Coop Suède restaient fermés lundi du fait de la cyberattaque, selon la chaîne de supermarchés.

 

Qu’est-ce qu’un « rançongiciel »?

L’attaque au rançoncigiel (contraction de rançon et logiciel, « ransomware » en anglais, NDLR) est une sorte de prise d’otage numérique : un programme informatique est introduit subrepticement dans un système informatique pour chiffrer tous ses fichiers et données. Le propriétaire du système doit payer une rançon s’il veut obtenir la clef de déchiffrement.

Le paiement de la rançon se fait généralement en bitcoins, cryptomonnaie permettant aux pirates de rester introuvables et anonymes.

Les États-Unis ont été particulièrement frappés ces derniers mois par des assauts spectaculaires par rançongiciels touchant aussi bien de grandes entreprises comme le géant de la viande JBS ou le gestionnaire d’oléoducs Colonial Pipeline, que des collectivités locales et des hôpitaux.

Au moins 18 milliards de dollars ont été versés à des pirates usant de rançongiciels l’an dernier, selon l’entreprise de sécurité Emsisoft.

Selon de nombreux experts, les pirates à l’origine de cyberattaques par rançongiciels sont souvent installés en Russie. Moscou, suspecté de couvrir voire d’être associé à leurs activités, dément toute implication.

Mais le phénomène prend une telle ampleur qu’il a été un des points principaux soulevés par le président américain Joe Biden lors de sa rencontre mi-juin avec son homologue russe Vladimir Poutine.

 

Qui est le groupe REvil, qui revendique l’attaque?

L’attaque est attribuée à un groupe de pirates russophones connu sous le nom de REvil ou Sodinokibi. 

Un récent rapport d’IBM Security X-Force considérait Sodinokibi comme le groupe de cybercriminels le plus redoutable en matière de rançongiciels, en étant responsable de 29 % des cyberattaques de ce type en 2020.

Les auteurs du rapport estiment également que les pirates de Sodinokibi ont réalisé à eux seuls au moins 123 millions de dollars de bénéfices en 2020 et ont volé environ 21,6 téraoctets de données.

REvil crée des programmes informatiques permettant d’attaquer des entreprises et des individus, qu’il partage avec des affiliés qui mènent eux-mêmes l’attaque et partagent ensuite les rançons.

En 2021, le gardien de la sécurité informatique française (Anssi) expliquait que le rançongiciel de Sodinokibi était disponible sur des forums criminels russophones, pour des attaquants d’élite.

« Sodinokibi a choisi de limiter fortement le nombre d’affiliés, de leur imposer un niveau d’activité élevé, et d’interdire tout affilié anglophone », expliquait l’Anssi.

 

Sur le même sujet

Incidents de confidentialité: une règle de trois avant de signaler

COURRIER DES LECTEURS. Informer plus, informer mieux: c’est donc là tout l’objectif de la nouvelle loi.

Cybersécurité: un guide pour vous conformer à la loi 25

LA TECHNO PORTE CONSEIL. Une start-up fournit une liste à cocher pour aider les entreprises à être prête pour ce jeudi.

À la une

L’Italie prendra-t-elle un virage « illibéral »?

ANALYSE. L'élection législative de dimanche pourrait porter au pouvoir un parti issu de la nostalgie mussolinienne.

En face du ou de la prochain.e premier.ère ministre

Édition du 21 Septembre 2022 | Les Affaires

Si le ou la prochain.e premier.ère ministre du­ Québec était en face de vous, quel sujet serait votre priorité?

Qui est le gagnant du «Débat des chefs» pour les lecteurs de Les Affaires?

23/09/2022 | Les Affaires

Un lecteur a souligné que «l’auditeur» était le gagnant de l’exercice.