Alors que la société Kaseya se dit victime d’une cyberattaque « sophistiquée », les autorités veillent. Le FBI prévient de « l’ampleur » de la cyberattaque en cours depuis vendredi et se coordonne avec l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA).
La société américaine Kaseya a qualifié samedi de « sophistiquée » la cyberattaque qui a permis à des pirates informatiques d’atteindre plusieurs dizaines, voire centaines des clients à qui elle fournit un logiciel de gestion informatique. Des hackers ont attaqué Kaseya vendredi, juste avant un week-end prolongé aux Etats-Unis, pour demander une rançon à potentiellement plus de 1 000 entreprises à travers sa solution.
L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) « surveille de près la situation », a indiqué Eric Goldstein, responsable pour la cybersécurité au sein de l’organisme. « Nous travaillons avec Kaseya et nous coordonnons avec le FBI pour mener des actions de sensibilisation auprès des victimes susceptibles d’être touchées », a-t-il ajouté dans un message transmis à l’AFP.
Le FBI prévient de « l’ampleur » de la cyberattaque aux Etats-Unis
Le FBI, la police fédérale américaine, a souligné dimanche que « l’ampleur » de la cyberattaque en cours depuis vendredi contre la société américaine Kaseya pourrait l’empêcher de répondre à toutes les victimes individuellement. Samedi soir, le FBI a indiqué que ses services avaient ouvert une enquête et travaillaient avec l’Agence américaine de cybersécurité et de sécurité des infrastructures et d’autres agences « pour comprendre l’ampleur de la menace ».
« Si vous pensez que vos systèmes ont été compromis, nous vous encourageons à utiliser toutes les mesures recommandées et à suivre les conseils de Kaseya pour arrêter immédiatement vos serveurs (liés au logiciel attaqué) et à faire un signalement au FBI », a ajouté la police américaine dans un message dimanche. « Bien que l’ampleur de cet incident puisse nous empêcher de répondre à chaque victime individuellement, toutes les informations que nous recevrons seront utiles pour contrer cette menace », a aussi souligné le FBI.
Le président américain Joe Biden avait indiqué samedi soir avoir ordonné une enquête, notamment pour déterminer si l’attaque venait ou non de la Russie. Pour l’instant, « nous ne sommes pas encore sûrs », avait-il alors déclaré.
Une des principales chaînes de supermarchés de Suède affectée
Kesaya estime qu’en raison de la réponse « rapide » de ses équipes, l’attaque a été circonscrite « à un très petit nombre de clients utilisant notre logiciel directement sur leurs appareils », a souligné l’entreprise dans un message sur son site internet. Vendredi soir, elle avait expliqué s’être rendue compte d’un possible incident sur son logiciel VSA à la mi-journée sur la côte est-américaine, juste avant un week-end prolongé par un jour férié lundi, et estimait alors que « moins de 40 clients dans le monde » était affecté.
Mais ces clients fournissent eux-mêmes des services à d’autres sociétés et l’attaque a pu se disséminer auprès de centaines, voire de milliers d’entre eux. Selon l’entreprise spécialisée dans la sécurité informatique Huntress Labs, 200 entreprises ont été affectées par ce rançongiciel. La société de sécurité informatique ESET Research a, samedi, identifié
des victimes dans 17 pays à travers le monde.
Cet assaut a déjà eu des conséquences directes : une des principales chaînes de supermarchés de Suède a été contrainte samedi de fermer temporairement la quasi totalité de ses 800 magasins, la cyberattaque ayant paralysé ses caisses enregistreuses. Elle a, depuis, appelé ses clients à utiliser sa solution mobile de paiement. Coop Suède, qui représente environ 20% du secteur dans le pays nordique avec un chiffre d’affaires annuel de près de 1,5 milliard d’euros, a porté plainte dimanche auprès de la police.
Des pharmacies et la compagnie ferroviaire nationale Statens Järnvägar ont également signalé des problèmes de paiements. Le journal Dagens Nyheter écrit qu’il n’est pas possible de payer avec une carte dans le café des trains. Le ministre suédois de la Défense, Peter Hultqvist, avait dit dimanche son inquiétude de voir affecté un secteur « de la vie quotidienne » et « la sécurité alimentaire« .
Un rétablissement des activités « dans les 24 à 48 heures »
Dans un nouveau message dimanche, Kesaya a souligné qu’elle travaillait 24 heures sur 24, « dans toutes les zones géographiques », pour résoudre le problème et restaurer le service. Elle espère pouvoir rétablir l’activité pour les clients utilisant son logiciel à distance « dans les 24 à 48 heures » et continue à travailler à un remède pour les clients utilisant son logiciel directement sur leurs appareils. Les attaques par rançongiciel sont devenues fréquentes, les études relayées dans Solutions Numériques le mettent en évidence. Mais habituellement, « les cybercriminels opèrent entreprise par entreprise », rappelle Gérôme Billois, expert en cybersécurité du cabinet de conseil Wavestone. « Dans cette affaire, ils ont attaqué une société qui fournit un logiciel de gestion des systèmes informatiques, ce qui leur permet de toucher simultanément plusieurs autres dizaines, voire centaines de sociétés », explique-t-il. Il est compliqué de déterminer combien exactement car dans ce genre de situation, les entreprises affectées perdent leur moyen de communication, ajoute M. Billois. Et Kesaya, qui a demandé à ses clients d’éteindre tous leurs systèmes, ne peut pas savoir si leur système s’est éteint « de plein gré ou de force », précise-t-il.
La Rédaction avec AFP
