Depuis vendredi, une attaque informatique de grande ampleur affecte les serveurs d'une société de gestion informatique américaine et, par ricochet, bon nombre de ses clients à travers le monde entier. Un groupe de pirates russes en serait à l'origine.

Une cyberattaque touche depuis le 3 juillet la firme américaine Kaseya, qui fournit des logiciels de gestion informatique à des entreprises à travers le monde
Une cyberattaque touche depuis le 3 juillet la firme américaine Kaseya, qui fournit des logiciels de gestion informatique à des entreprises à travers le monde © AFP / OLIVIER DOULIERY

Même le FBI l'a reconnu. La cyberattaque qui frappe la société Kaseya depuis vendredi dernier est d'une ampleur inédite, au point que les services secrets américains ont expliqué qu'il serait impossible de répondre individuellement à chaque victime. Pour l'instant, des milliers de sociétés sont touchées, dans près de 17 pays selon la société de sécurité informatique ESET Research. En Suède, dès les premières heures de l'attaque, plusieurs magasins d'une même chaîne de supermarché ont dû fermer, à cause du blocage de leur caisse informatique. 

Basée à Miami, Kaseya vend des outils de gestion informatique aux entreprises et revendique plus de 40 000 clients à travers le monde entier : son logiciel VSA est destiné à gérer des réseaux de serveurs, ordinateurs et imprimantes depuis une seule source, mais, selon la firme Kaseya, "seul un très petit nombre de clients utilisant le logiciel sur leurs appareil" a été affecté. 

Le problème majeur est l'effet de 'ricochet' qui peut s'avérer dévastateur : certains des abonnés ont eux-mêmes de nombreux clients internationaux, permettant ainsi à l'attaque de se propager rapidement. Cette dernière s'est, de plus, produite à la veille d'un week-end prolongé aux États-Unis, celui de la fête nationale du 4 juillet, quand un grand nombre de salariés avait déjà déserté les bureaux. 

Une rançon de 70 millions de dollars

Pendant que Kaseya travaille à résoudre le problème, un appel à rançongiciel a été lancé dimanche soir sur le darkweb par un réseau de pirates russes, REvil, identifiés par de nombreux experts en cybersécurité comme les auteurs de l'attaque. Ces derniers auraient profité d'une faille dans le système de mise à jour de Kaseya pour s'infiltrer dans son réseau de serveurs.

REvil réclame désormais une rançon de 70 millions de dollars (59 millions d'euros) pour lever le blocage des données. Le groupe REvil, également connu sous le nom de Sodinokibi, est lié à la Russie et a fait parler de lui pour la première fois en 2019. Son nom est la contraction de "Ransomware Evil", et s’inspire du nom de la série de jeux vidéo "Resident Evil".  

Ses pirates ont depuis réussi à extorquer d’importantes sommes d’argent grâce à leur rançongiciel, un programme qui paralyse les systèmes informatiques d’une entreprise.  REvil réclame ensuite une rançon pour les débloquer ou rendre les données volées. Mais leur malveillance va plus loin car le groupe travaille avec d’autres cybercriminels qui à leur tour diffusent ce rançongiciel.

REvil est déjà soupçonné d’avoir mené ces derniers mois des attaques aux États-Unis, contre une filiale américaine du brésilien JBS, le plus grand producteur mondial de viandes, qui a dû payer en juin une rançon de 11 millions de dollars. Le groupe de pirates aurait également visé et paralysé les oléoducs de Colonial Pipeline, le principal exploitant outre-Atlantique d’hydrocarbures ainsi des collectivités locales et des hôpitaux.