Le parquet de Paris ouvre une enquête en France sur le virus Petya....

Cette enquête a été ouverte pour « accès et maintien frauduleux dans des systèmes de traitement automatisé de données », « entrave au fonctionnement » de ces systèmes, « extorsions et tentatives d’extorsion », a appris l’agence France-Presse. L’enquête a été confiée à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC).

Dans l’Hexagone, l’industriel Saint-Gobain et la SNCF ont déclaré avoir été touchés par le virus. L’entreprise ferroviaire a précisé que ses opérations n’étaient pas affectées, et le géant du bâtiment a précisé que le problème était en cours de résolution.

Selon une source proche du dossier, il est cependant encore « trop tôt » pour savoir combien d’entreprises ont été touchées et connaître l’ampleur des dégâts éventuels. « Le niveau de cette attaque est sans précédent », a indiqué mardi en fin d’après-midi le secrétaire d’Etat au numérique, Mounir Mahjoubi.

Lire aussi :   Tchernobyl, Maersk, WPP… les principales victimes du virus Petya

Rançon en bitcoins

Selon plusieurs entreprises de sécurité informatique, cette souche de Petya utilise EternalBlue, un outil issu de la NSA, la puissante agence de renseignement américaine. C’était lui qui était déjà responsable de la propagation éclair du rançongiciel WannaCry, en mai. La faille qu’il utilise est pourtant corrigée depuis le mois d’avril par Microsoft, ce qui signifie que les machines touchées par cette dernière variante de Petya n’étaient vraisemblablement pas mises à jour.

Le virus Petya touche la partie du disque dur qui contient les logiciels utilisés au démarrage de l’ordinateur, le rendant totalement inutilisable, là où la plupart des ransomwares habituels se « contentent » de bloquer l’accès aux documents personnels. Le logiciel demande aux victimes de payer une rançon en bitcoins, une monnaie virtuelle, pour pouvoir débloquer leur ordinateur. 

La cible doit ensuite envoyer un e-mail à une adresse indiquée avec un identifiant spécifique pour prouver qu’il a bien payé la rançon et donc récupérer l’accès à son système.

Mais le fournisseur e-mail utilisé par le ou les rançonneurs, Posteo, a précisé mardi sur son site avoir fermé l’adresse incriminée. Ce qui signifie que, même si une victime choisit de payer la rançon, elle ne pourra plus récupérer l’accès à son ordinateur.

En revanche, selon un bulletin émis mardi en fin d’après-midi par le centre d’alerte de l’Agence nationale de sécurité des systèmes d’information (Anssi), le garde du corps numérique de l’Etat, le vecteur de diffusion demeure « inconnu » à ce stade. Cependant, il précise que Petya pourrait, outre les postes de travail, toucher également les serveurs.

Comment éviter d’être infecté par Petya ?

On ignore encore comment le virus Petya s’est précisément diffusé, mais les ransomware se propagent généralement via des pièces jointes de courriels, avant de se diffuser sur le réseau local. Il est fortement recommandé de ne pas ouvrir les pièces jointes provenant de courriels dont on ne connaît pas le destinataire, et plus généralement d’appliquer les mises à jour de sécurité de Windows, si elles ne sont pas automatiques. Il est aussi prudent de faire des sauvegardes sur des supports non connectés à un Internet, comme des disques durs externes.

Pour les ordinateurs ayant été infectés, l’Anssi, le garde du corps numérique de l’Etat français, recommande par ailleurs de ne jamais payer la rançon demandée, notamment parce qu’il n’est jamais garanti de recevoir une clé de déchiffrement. Il est conseillé de déconnecter immédiatement la machine infectée du réseau et d’attendre un correctif ou la publication d’un outil de déverrouillage.

http://www.lemonde.fr/pixels/article/2017/06/27/le-parquet-de-paris-ouvre-une-enquete-en-france-sur-le-virus-petya_5152090_4408996.html