Le gouvernement américain alerte sur l’ampleur de la cyberattaque contre Kaseya
Publié le - par LeBlob.fr, avec l’AFP
La cyberattaque qui frappe depuis vendredi la société américaine Kaseya et ses clients est d’une telle ampleur qu’il pourrait s’avérer impossible de répondre à toutes les victimes individuellement, a averti dimanche le FBI.
La conseillère principale en cybersécurité de la Maison Blanche a souligné dans un communiqué que le FBI (la police fédérale) et l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) allaient « contacter les victimes identifiées pour leur fournir de l’aide en fonction d’une évaluation du risque pour la nation ».
Des hackers ont attaqué Kaseya vendredi, juste avant un week-end prolongé aux Etats-Unis, pour demander une rançon à potentiellement des centaines, voire des milliers d’entreprises à travers son logiciel de gestion informatique. Le président américain Joe Biden a indiqué samedi avoir ordonné une enquête, notamment pour déterminer si l’attaque venait ou non de Russie. Pour l’instant, « nous ne sommes pas encore sûrs », avait-il alors déclaré.
Le FBI travaille en lien avec les autres agences « pour comprendre l’ampleur de la menace ». « Si vous pensez que vos systèmes ont été compromis, nous vous encourageons à utiliser toutes les mesures recommandées et à suivre les conseils de Kaseya pour arrêter immédiatement vos serveurs (liés au logiciel attaqué) et à faire un signalement au FBI », a indiqué la police américaine dans un message dimanche. « Bien que l’ampleur de cet incident puisse nous empêcher de répondre à chaque victime individuellement, toutes les informations que nous recevrons seront utiles pour contrer cette menace », a aussi souligné le FBI.
Il est difficile d’estimer l’ampleur de cette attaque par rançoncigiel, ou ransomware, un type de programme informatique qui paralyse les systèmes informatiques d’une entreprise puis exige une rançon pour les débloquer.
Basée à Miami, Kaseya vend des outils informatiques aux entreprises, dont le logiciel VSA destiné à gérer des réseaux de serveurs, ordinateurs et imprimantes depuis une seule source. Elle revendique plus de 40 000 clients. Selon Kaseya, « seuls un très petit nombre de clients utilisant le logiciel sur leurs appareil » ont été affectés. L’entreprise évaluait vendredi ce chiffre à moins de 40 clients. Mais certains d’entre eux ont eux-mêmes de nombreux clients et l’attaque s’est rapidement démultipliée.
Au moins 17 pays
Dans un nouveau message dimanche, l’entreprise a souligné qu’elle travaillait 24 heures sur 24, « dans toutes les zones géographiques », pour résoudre le problème et restaurer le service. Elle devait décider lors d’une réunion dans la nuit de dimanche à lundi si elle rétablissait dès lundi l’activité pour les clients utilisant son logiciel à distance. Kaseya continue parallèlement à travailler à un remède pour les clients utilisant son logiciel directement sur leurs appareils.
Kaseya a embauché la firme spécialisée dans la cybersécurité FireEye Mandiant IR pour l’aider à gérer la crise. La société de sécurité informatique ESET Research avait, samedi, identifié des victimes dans 17 pays à travers le monde. L’attaque a déjà conduit à la fermeture temporaire samedi de plusieurs centaines de magasins d’une grande chaîne de supermarchés en Suède, les caisses enregistreuses ne pouvant plus fonctionner.
L’assaut a débuté vendredi, « alors que de nombreuses entreprises avaient du personnel déjà en congé ou se préparant pour un long week-end », a souligné dans un message la firme spécialisée Sophos. Selon plusieurs experts, il a été mené par un affilié au groupe de hackers connu sous le nom de REvil. Ce dernier crée des programmes informatiques permettant d’attaquer des entreprises et des individus, qu’il partage avec des affiliés qui mènent eux-mêmes l’attaque et partagent ensuite les rançons.
Selon Sophos, les pirates ont utilisé une faille dans le système de mise à jour du logiciel de Kaseya. Ils ont crypté les données des entreprises affectées sans chercher à les exfiltrer mais demandent une rançon pour les débloquer.
Les attaques par rançongiciel sont devenues fréquentes et les Etats-Unis ont été particulièrement frappés ces derniers mois par des assauts touchant aussi bien des grandes entreprises comme le géant de la viande JBS ou le gestionnaire d’oléoducs Colonial Pipeline, que des collectivités locales et des hôpitaux.