Première conséquence directe de cette attaque, une grande chaîne de supermarchés en Suède a dû fermer samedi plus de 800 magasins, ses caisses étant paralysées. Selon de nombreux experts, les pirates à l’origine de ce type d’attaque par rançongiciel sont souvent installés en Russie. Moscou, suspecté de couvrir voire d’être associé à leurs activités, dément toute implication.
Mais le phénomène prend une telle ampleur qu’il a été un des points principaux soulevé par le président américain Joe Biden lors de sa rencontre mi-juin avec son homologue russe Vladimir Poutine. J. Biden, qui a ordonné samedi une enquête, a affirmé que «la première réflexion était qu’il ne s’agissait pas du gouvernement russe, mais nous ne sommes pas encore sûrs».
«J’en saurai plus demain», a-t-il dit, et s’il s’avère que cela « s’est produit alors que la Russie en avait connaissance et/ou que c’est du fait de la Russie, alors j’ai dit à Poutine que nous répondrons», a déclaré le président US.
Il est difficile pour l’instant d’estimer l’ampleur de cette attaque par rançoncigiel, ou «ransomware», un type de programme informatique qui paralyse les systèmes informatiques d’une entreprise puis exige une rançon pour les débloquer. Kaseya, qui s’est rendu compte vendredi à la mi-journée sur la côte est-américaine d’un possible incident sur son logiciel VSA, a assuré qu’elle avait été circonscrite «à moins de 40 clients dans le monde». Sauf que ces derniers fournissent eux-mêmes des services à d’autres sociétés, ce qui permet aux pirates de démultiplier leur attaque. Selon l’entreprise spécialisée dans la sécurité informatique Huntress Labs, «plus de 1000 entreprises» ont été affectées par ce rançongiciel.
«En se basant sur le nombre de fournisseurs de services informatiques qui nous demandent de l’aide et les commentaires que nous voyons sur ce fil, il est raisonnable de penser que cela pourrait potentiellement avoir un impact sur des milliers de petites entreprises», avance même Huntress Labs dans un message sur le forum Reddit.
«On n’a pour le moment aucune donnée sur le nombre de sociétés concernées», remarque, Brett Callow, expert en cybersécurité chez Emsisof. Mais l’ampleur de l’attaque est probablement «sans précédent».
Basée à Miami, Kaseya vend des outils informatiques aux entreprises, dont le logiciel VSA destiné à gérer des réseaux de serveurs, ordinateurs et meilleure imprimante 3D résine depuis une seule source. Elle revendique plus de 40’000 clients.
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) «surveille de près la situation», selon Eric Goldstein, l’un de ses responsables. «Nous travaillons avec Kaseya et nous coordonnons avec le FBI pour mener des actions de sensibilisation auprès des victimes susceptibles d’être touchées», a-t-il ajouté dans un message transmis à l’AFP.
La nature de l’attaque est similaire à celle utilisée avec l’éditeur de logiciels de gestion informatique SolarWinds, qui avait touché en 2020 des organisations gouvernementales et des entreprises américaines. Sauf que cette dernière, imputée par Washington aux services secrets russes, était plutôt «dans une logique d’espionnage, alors qu’on est là dans une logique d’extorsion», souligne Gérome Billois, expert en cybersécurité du cabinet de conseil Wavestone.
Selon Huntress Labs, à en croire les méthodes utilisées, les notes de rançongiciel et l’adresse internet fournie par les hackers, c’est un affilié au groupe de hackeurs connu sous les noms de REvil ou Sodinokibi qui serait à l’origine de ces intrusions. Le FBI a imputé à ce groupe la cyberattaque contre JBS fin mai.
