«La première vague est passée », commenteLoïc Guezo, directeur du développement chez Trend Micro, spécialiste japonais de cybersécurité. Ce lundi, le spectre d’un « cyberchaos » redouté après une cyberattaque mondiale provoquée par un logiciel malveillant lancé vendredi, semblait s’éloigner. « Le nombre de victimes semble ne pas avoir augmenté et la situation semble stable en Europe », a déclaré en tout cas à l’AFP Jan Op Gen Oorth, le porte-parole d’ Europol, l’Office européen de police.

Seulement 50.000 dollars récoltés ?

Wanacry, du nom de ce logiciel malveillant, a touché toutefois 200.000 systèmes informatiques à travers 150 pays dans le monde, surtout en Europe. Des hôpitaux britanniques, l’entreprise de téléphonie espagnole Telefonica, la société des chemins de fer allemand Deutsche Bahn, le ministère russe de l’Intérieur ou encore l’entreprise française Renault, qui a dû laisser son usine de Douai au repos ce lundi, sont les victimes qui ont été le plus médiatisées.

Wanacry verrouillait les fichiers des utilisateurs pour les forcer à payer une somme d’argent, environ 300 dollars, sous forme de monnaie virtuelle bitcoin, difficile à tracer. « Selon le dernier décompte porté à ma connaissance, les cybercriminels auraient récolté 50.000 dollars, indique Loïc Guezo. Il a été tout de suite conseillé de ne pas payer la rançon, mais certaines entreprises ou administrations touchés ont visiblement cédés, y voyant la façon la plus rapide de récupérer leurs données. »

« Si la finalité est de tester lesinfrastructures… c’est une réussite »

Reste que 50.000 dollars, c’est assez peu. Faut-il alors y voir un échec dans cette vaste cyberattaque mondiale ?Nicolas Arpagian, auteur du « Que sais-je » La Cybersécurité (Presses universitaires de France) invite à ne pas aller trop vite. « Pour répondre à cette question, il faut déjà connaître les motivations des cybercriminels, rappelle-t-il. Si la finalité de la cyberattaque est crapuleuse, ne visant qu’à récolter de l’argent, oui, au regard du nombre d’instances visées et de pays touchés, c’est un relatif échec. Mais si la finalité est de tester les infrastructures, de se rendre compte de la cohésion des dispositifs de ripostes, alors dans ce cas, cette attaque est une réussite. »

Nicolas Arpagian a recours alors à l’allégorie du cambrioleur. « Les plus malins vont lancer un caillou contre un carreau et attendre une demi-heure à l’écart, explique-t-il. Si rien ne bouge, si aucun service de sécurité se présente, c’est qu’a priori, il n’y a pas de systèmes d’alarme. »

Des répliques à venir ?

C’est ce que plusieurs experts en cybercriminalité craignent après cette attaque lancée vendredi. « Les répliques…, indique Loïc Guezio. On peut s’attendre à des mutations du logiciel initial vers des solutions plus résistantes et contournant les dispositifs de sécurité proposés en réponse à la première attaque. » La cyberattaque de vendredi pourrait être alors la première d’une série courant sur plusieurs mois, comme celles qu’on avait connues en 2007 avec le ver informatique Conficker fin 2008.

Mais difficile d’anticiper. On ignore encore tout de ces cybercriminels et de leur motivation. Loïc Guezo reste notamment intrigué par le « killswitch », une sorte d’interrupteur qui permet de désactiver le logiciel et qu’a trouvé par hasard un jeune informaticien britannique ce week-end. « Dans une optique purement crapuleuse, ce n’est pas logique de ne pas avoir été au bout du geste et de ne pas avoir mis cet interrupteur sous leur contrôle », observe-t-il. Nicolas Arpagian doute aussi d’une unique quête d’argent dans cette entreprise criminelle. « Ceux qui ont des activités crapuleuses cherchent avant tout la discrétion, note-t-il. Même des cybercriminels. »

Des leçons à tirer

Dans le doute, les experts en cybercriminalité invitent déjà les entreprises et administrations à tirer les leçons de l’attaque de vendredi. Yogi Chandiramani, directeur Europe deZscaler, entreprise spécialiste de la sécurité sur le cloud, en tire deux principales. « La première est de faire les mises à jour plus rapidement sur ses ordinateurs, une tâche que peuvent négliger certaines entreprises, commence-t-il. Wanacry utilise une faille connue et qui aurait pu être corrigée. Microsoft proposait des mises à jour depuis longtemps pour se prémunir. »

La deuxième leçon « est de se préoccuper aussi de la sécurité de son réseau interne, poursuit Yogi Chandiramani. On l’a vu depuis vendredi, ces virus se propagent à très grande vitesse dans l’entreprise une fois un poste infecté. » Nicolas Arpagian y voit une sorte de carrefour auxquelles seraient arrivées de nombreuses entreprises et administrations. « En France, l’attaque a eu des conséquences relativement modérées, mais on sait qu’on peut être exposé…, explique-t-il. Que fait-on ? Est-ce qu’on se protège ? C’est parfois un effort difficile à faire accepter à une entreprise. Investir dans la cybersécurité ne va pas lui faire gagner des clients, ni augmenter sa productivité. » Cela peut tout de même d'avoir à fermer son usine.