Cyber attaques, nouvel acte. Depuis quelques jours les attaques de Wiper, de puissants virus qui réduisent à néant les données informatiques, se seraient renforcées dans le cadre de la guerre en Ukraine.
Avec notamment le fameux Hermetic Wiper
Selon Maxime Alay-Eddine, vice-président du groupement HexaTrust et PDG de Cyberwatch, des entreprises françaises pourraient aussi en subir les effets, soit par des attaques ciblées, soit par des effets de rebond. Pour 20 Minutes, il détaille les effets des Wiper et les protections à mettre en place.
Qu’est-ce qu’un Wiper ?
Un Wiper, du verbe “to wipe” en anglais (balayer, essuyer, racler..) va effectivement tout balayer tout sur son passage. “Il s’agit d’un produit malveillant qui va servir à rendre des données inutilisables précise Maxime Alay-Eddine, PDG de Cyberwatch, Contrairement à un ransonware qui les rend inutilisables uniquement durant le temps qu’une rançon soit versée, le Wiper les détruit purement et simplement. Elles sont foutues”.
En rendant les données indisponibles, elles empêchent les systèmes d’informations de fonctionner, et donc les organisations. On peut imaginer les conséquences pour une administration ou un hôpital. Le spécialiste précise que la menace Wiper est à la fois « persistante et avancée”.
“Persistante” parce que le Wiper peut être un virus dormant, implanté depuis des années dans le système d’information, de manière silencieuse. “Avancée” parce qu’elle sera activée par une influence humaine au moment choisi par elle.
Un Wiper peut cacher une autre cybermenace
Les attaques informatiques ne sont pas forcément à virus unique. “Ce type de programme malveillant peut aussi être employé pour détourner de l’attention. Quand on se rend compte qu’un système informatique ne fonctionne plus à cause d’un Wiper, on concentre ses forces dessus. Pendant ce temps, les cybercriminels peuvent déclencher d’autres attaques”, souligne Maxime Alay-Eddine.
Actuellement, des Wiper sont utilisés dans le cadre de la guerre en Ukraine. C’est le cas du malware nommé l’Hermetic Wiper. “Mais ce n’est pas la première fois. Il y a quelques années, des organisations ukrainiennes avaient déjà été touchées, avec des dommages collatéraux jusqu’en France, à cause du logiciel NotPetya qui avait touché le groupe Saint-Gobain (en juin 2017)”.
La Russie est-elle derrière les attaques de Wiper ?
La Russie a développé des expertises en cybermenaces et les hackers russes font également parler d’eux. Mais “il est très difficile d’accuser une institution, de dire que c’est la Russie qui avait attaqué et qui attaque aujourd’hui”, explique Maxime Alay-Eddine.
Reste que la société de cybersécurité Eset a trouvé de nouveaux malwares de type Wiper qui attaquent l’Ukraine précisément en ce moment. ». C'est seulement quelques heures avant l'invasion de l'Ukraine par la Russie qu'une cyberattaque a visé les organisations ukrainiennes avec HermeticWiper.
Le 24 février, une deuxième attaque a eu lieu. La cible était un réseau gouvernemental et le Wiper impliqué a été baptisé Isaac Wiper. Autant de virus menaçants et qui peuvent se propager. Les pays occidentaux prennent ces menaces au sérieux et les entreprises relèvent le niveau de sécurité.
“En France on peut subir des attaques ciblées ou par rebonds avec des effets incontrôlables, reprend Maxime Alay-Eddine, en cas d’aggravation, on serait dans une sorte d’état d’urgence cyber”. Microsoft a annoncé avoir repéré HermeticWiper en Moselle. Avec plusieurs variants le rendant difficile à détecter.
Les particuliers peuvent-ils être touchés par des Wiper ?
Oui, même s’ils ne sont pas spécialement ciblés. “Le particulier n’intéresse pas trop les pirates qui cherchent la rentabilité économique, détaille le spécialiste. Des attaques de type Wiper ont plutôt intérêt à cibler les entreprises avec des parcs informatiques homogènes. Si un pirate compromet un seul ordinateur, il peut contaminer l’ensemble du système.”
Comment se protéger ?
Maxime Alay-Heddine recommande de regarder régulièrement le site de l’ANSIL, ( Agence Nationale de la Sécurité des Systèmes d’Informations) qui recense les alertes de sécurité.
Les entreprises doivent privilégier les sauvegardes en mode déconnecté car il est plus difficile pour le pirate de déclencher le virus dessus.
“Elle doivent aussi surveiller les éléments anormaux du fonctionnement du réseau comme de détecter les requêtes qui iraient vers des pays étonnants, avec lesquels la société n’est pas sensée avoir des échanges”.
Pour les particuliers, il est impératif d’appliquer les mises à jour de sécurité de son système. Windows le fait tous les mois. Sur Mac OS, ne pas cliquer sur “Plus tard”, lorsqu’une mise à jour est proposée ! La sécurité n’attend pas…
