Washington, Etats-Unis | AFP | mardi 15/05/2017 - Des spécialistes de sécurité informatique estiment avoir découvert un lien potentiel entre la Corée du Nord et la cyberattaque mondiale qui sévit depuis vendredi, certains avertissant de nouvelles attaques possibles.
Il est "trop tôt" pour spéculer sur les auteurs de cette cyberattaque non revendiquée, a estimé mardi le porte-parole d'Europol Jan Op Gen Oorth, "l'investigation est en cours".
Selon l'Office européen des polices, le nombre d'adresses IP infectées dans le monde a reculé de 38% par rapport à dimanche, à 165.000 mardi matin contre 226.800 dimanche. De nombreux correctifs de sécurité ont été mis en place durant le week-end.
Lundi soir, le conseiller à la Sécurité intérieure du président américain Donald Trump, Tom Bossert, estimait à plus de 300.000 le nombre d'ordinateurs infectés dans quelque 150 pays. Il a assuré qu'aucune branche du gouvernement américain n'avait été touchée.
Des spécialistes de la sécurité informatique en Corée du Sud, aux Etats-Unis, en Russie et en Israël ont pointé du doigt la Corée du Nord, même s'il n'y a encore aucune preuve.
Simon Choi, directeur de la société de sécurité informatique Hauri basée à Séoul, a expliqué mardi à l'AFP que le code utilisé pour l'attaque montre de nombreuses similarités avec des précédents dans lesquels ce pays a été incriminé, notamment contre Sony Pictures en novembre 2014 ou la Banque centrale du Bangladesh en février 2016.
De nouvelles attaques sont possibles, a averti M. Choi, "en particulier parce que, contrairement à des tests balistiques ou nucléaires, ils (les Nord-Coréens, NDLR) peuvent démentir leur implication dans les attaques menées dans le cyberespace et s'en sortir impunément".
"J'ai vu des signes l'an dernier que le Nord préparait des attaques avec des logiciels de rançon ou même avait déjà commencé à lancer de telles attaques, en visant certaines compagnies sud-coréennes", a-t-il ajouté, citant un vol de données de 10 millions d'utilisateurs chez Interpark, site sud-coréen de commerce en ligne, avec une demande de rançon de 3 millions de dollars.
Dès lundi, Neel Nehta, informaticien chez Google, avait mis en ligne des codes informatiques montrant certaines similarités entre le virus WannaCry, un logiciel de rançon utilisé dans l'attaque, et une autre série de piratages attribués à la Corée du Nord.
- 'Usine à virus' -
Selon la firme Kaspersky, les similarités des codes pointent vers un groupe de pirates informatiques baptisé Lazarus, qui serait derrière l'attaque de 2014 contre Sony Pictures lors de la sortie d'un film produit par Sony moquant le dirigeant nord-coréen Kim Jong-Un.
"L'échelle des opérations de Lazarus est choquante", selon les chercheurs de Kaspersky. "Ce groupe a été très actif depuis 2011. Lazarus est une usine à virus qui produit de nouveaux échantillons grâce à une multitude de fournisseurs indépendants".
De son côté, le directeur exécutif de l'entreprise de sécurité informatique israélienne Intezer Labs, Itai Tevet, a écrit lundi soir sur Twitter qu' "@IntezerLabs confirme l'attribution de #WannaCry à la Corée du Nord, pas seulement en raison de la fonction de Lazarus. Plus d'informations à venir".
Alors que les hackers russes sont régulièrement pointés du doigt, le président Vladimir Poutine a assuré lundi que son pays n'avait "absolument rien à voir" avec WannaCry, estimant que "les services spéciaux américains étaient la première source de ce virus".
Le virus exploite une faille dans les systèmes d'exploitation Windows du géant américain Microsoft, décelée depuis longtemps par la NSA (l'agence de sécurité nationale américaine) avant de tomber dans le domaine public via des documents piratés au sein de la NSA.
A la Maison Blanche, M. Bossert a rétorqué: "il ne s'agit pas d'un outil développé par la NSA pour rançonner des données".
Le virus est à présent "détectable par les outils de cybersécurité", a affirmé lundi à l'AFP Michel Van Den Berghe, directeur général d'Orange Cyberdefense, filiale cybersécurité du groupe français Orange.
Mais "il y a des tas de gens qui vont se servir de la souche pour générer des variantes", nouvelles et donc indétectables par les antivirus, a-t-il averti.
- 63.000 dollars de rançon -
L'attaque a notamment touché le service public de santé britannique NHS, ainsi que le système bancaire russe, le constructeur automobile français Renault, le groupe américain de logistique FedEx, la compagnie de télécoms espagnole Telefonica ou encore des universités en Grèce et en Italie.
Au Japon, le réseau informatique du conglomérat Hitachi était "instable", a déclaré un porte-parole. En Chine, des "centaines de milliers" d'ordinateurs et près de 30.000 institutions ont été touchées, selon Qihoo 360, fournisseur de logiciels antivirus.
WannaCry, combinant pour la première fois les fonctions de logiciel malveillant et de ver informatique, verrouille les fichiers des utilisateurs et les force à payer 300 dollars (275 euros) pour en recouvrer l'usage.
La rançon est demandée en monnaie bitcoin, monnaie virtuelle qui préserve l'anonymat.
Selon Europol, quelque 243 paiements ont été effectués par des victimes pour une valeur de près de 63.000 dollars.
Il est "trop tôt" pour spéculer sur les auteurs de cette cyberattaque non revendiquée, a estimé mardi le porte-parole d'Europol Jan Op Gen Oorth, "l'investigation est en cours".
Selon l'Office européen des polices, le nombre d'adresses IP infectées dans le monde a reculé de 38% par rapport à dimanche, à 165.000 mardi matin contre 226.800 dimanche. De nombreux correctifs de sécurité ont été mis en place durant le week-end.
Lundi soir, le conseiller à la Sécurité intérieure du président américain Donald Trump, Tom Bossert, estimait à plus de 300.000 le nombre d'ordinateurs infectés dans quelque 150 pays. Il a assuré qu'aucune branche du gouvernement américain n'avait été touchée.
Des spécialistes de la sécurité informatique en Corée du Sud, aux Etats-Unis, en Russie et en Israël ont pointé du doigt la Corée du Nord, même s'il n'y a encore aucune preuve.
Simon Choi, directeur de la société de sécurité informatique Hauri basée à Séoul, a expliqué mardi à l'AFP que le code utilisé pour l'attaque montre de nombreuses similarités avec des précédents dans lesquels ce pays a été incriminé, notamment contre Sony Pictures en novembre 2014 ou la Banque centrale du Bangladesh en février 2016.
De nouvelles attaques sont possibles, a averti M. Choi, "en particulier parce que, contrairement à des tests balistiques ou nucléaires, ils (les Nord-Coréens, NDLR) peuvent démentir leur implication dans les attaques menées dans le cyberespace et s'en sortir impunément".
"J'ai vu des signes l'an dernier que le Nord préparait des attaques avec des logiciels de rançon ou même avait déjà commencé à lancer de telles attaques, en visant certaines compagnies sud-coréennes", a-t-il ajouté, citant un vol de données de 10 millions d'utilisateurs chez Interpark, site sud-coréen de commerce en ligne, avec une demande de rançon de 3 millions de dollars.
Dès lundi, Neel Nehta, informaticien chez Google, avait mis en ligne des codes informatiques montrant certaines similarités entre le virus WannaCry, un logiciel de rançon utilisé dans l'attaque, et une autre série de piratages attribués à la Corée du Nord.
- 'Usine à virus' -
Selon la firme Kaspersky, les similarités des codes pointent vers un groupe de pirates informatiques baptisé Lazarus, qui serait derrière l'attaque de 2014 contre Sony Pictures lors de la sortie d'un film produit par Sony moquant le dirigeant nord-coréen Kim Jong-Un.
"L'échelle des opérations de Lazarus est choquante", selon les chercheurs de Kaspersky. "Ce groupe a été très actif depuis 2011. Lazarus est une usine à virus qui produit de nouveaux échantillons grâce à une multitude de fournisseurs indépendants".
De son côté, le directeur exécutif de l'entreprise de sécurité informatique israélienne Intezer Labs, Itai Tevet, a écrit lundi soir sur Twitter qu' "@IntezerLabs confirme l'attribution de #WannaCry à la Corée du Nord, pas seulement en raison de la fonction de Lazarus. Plus d'informations à venir".
Alors que les hackers russes sont régulièrement pointés du doigt, le président Vladimir Poutine a assuré lundi que son pays n'avait "absolument rien à voir" avec WannaCry, estimant que "les services spéciaux américains étaient la première source de ce virus".
Le virus exploite une faille dans les systèmes d'exploitation Windows du géant américain Microsoft, décelée depuis longtemps par la NSA (l'agence de sécurité nationale américaine) avant de tomber dans le domaine public via des documents piratés au sein de la NSA.
A la Maison Blanche, M. Bossert a rétorqué: "il ne s'agit pas d'un outil développé par la NSA pour rançonner des données".
Le virus est à présent "détectable par les outils de cybersécurité", a affirmé lundi à l'AFP Michel Van Den Berghe, directeur général d'Orange Cyberdefense, filiale cybersécurité du groupe français Orange.
Mais "il y a des tas de gens qui vont se servir de la souche pour générer des variantes", nouvelles et donc indétectables par les antivirus, a-t-il averti.
- 63.000 dollars de rançon -
L'attaque a notamment touché le service public de santé britannique NHS, ainsi que le système bancaire russe, le constructeur automobile français Renault, le groupe américain de logistique FedEx, la compagnie de télécoms espagnole Telefonica ou encore des universités en Grèce et en Italie.
Au Japon, le réseau informatique du conglomérat Hitachi était "instable", a déclaré un porte-parole. En Chine, des "centaines de milliers" d'ordinateurs et près de 30.000 institutions ont été touchées, selon Qihoo 360, fournisseur de logiciels antivirus.
WannaCry, combinant pour la première fois les fonctions de logiciel malveillant et de ver informatique, verrouille les fichiers des utilisateurs et les force à payer 300 dollars (275 euros) pour en recouvrer l'usage.
La rançon est demandée en monnaie bitcoin, monnaie virtuelle qui préserve l'anonymat.
Selon Europol, quelque 243 paiements ont été effectués par des victimes pour une valeur de près de 63.000 dollars.