Logiciel WannaCry : établir les responsabilités d’une cyberattaque dévastatrice

Mardi 16 mai 2017 — Dernier ajout mardi 27 juin 2017

Logiciel WannaCry : établir les responsabilités d’une cyberattaque dévastatrice

Editorial. Des milliers d’ordinateurs ont été infectés par le rançongiciel. Les répercussions sont telles que la recherche de responsables s’impose.

LE MONDE | 16.05.2017 à 11h22 • Mis à jour le 16.05.2017 à 15h00

Editorial du « Monde ». Il y a une certitude sur la cyberattaque qui a infecté, vendredi 12 et samedi 13 mai, des dizaines de milliers d’ordinateurs dans le monde : elle est d’origine criminelle. Elle ne résulte pas d’une erreur de manipulation. Elle a été lancée intentionnellement. Par qui ? On ne sait pas encore. Mais, d’ores et déjà, une chaîne de responsabilités peut être pointée en amont. Et, à chaque étape de cette chaîne, on est en droit d’attendre des réponses, tant une attaque de ce genre peut être dévastatrice.

Le programme qui a frappé quelque 300 000 ordinateurs en quelques jours – entreprises, grandes administrations, industrie et services confondus, en Europe comme en Asie – est un logiciel malveillant de la famille dite des « logiciels de rançon ». Il rend le contenu d’un ordinateur inaccessible à son propriétaire. Il sollicite une rançon pour que l’ordinateur puisse être déverrouillé. Ce type de logiciel est assez courant, mais celui de la cyberattaque des 12 et 13 mai, WannaCry, a une caractéristique : une invraisemblable vitesse de diffusion.

Microsoft connaissait la faille

Le premier chaînon qui facilite ce genre d’attaque est à chercher du côté des éditeurs de logiciels. Microsoft connaissait la faille utilisée par WannaCry. La firme l’a corrigée en mars pour ses systèmes les plus récents. On ne la retrouve pas moins dans un grand nombre de versions laissées dans des systèmes d’exploitation plus anciens – et donc éminemment vulnérables – par Microsoft et d’autres éditeurs de logiciels.

La deuxième étape dans la chaîne des responsabilités concerne les entreprises et les administrations elles-mêmes. Ce qui est ici en question, c’est une simple attitude de précaution, qui s’impose d’autant plus dans le secteur de la santé – hôpitaux, cliniques – ou des transports collectifs que des vies peuvent être mises en danger. Prudence élémentaire : il faudrait réduire les ordinateurs fonctionnant encore sur Windows XP et mis en service il y a plus de quinze ans. Tout aussi incompréhensible est l’absence de mise à jour systématique de nombre d’ordinateurs d’entreprises ou de grandes administrations.

L’Etat forme un troisième chaînon de responsabilité. La mise en pratique d’un principe de précaution informatique coûte cher. Mettre à jour et sécuriser des ordinateurs a un prix. Il faut le savoir et l’accepter. Les enjeux sont énormes : la numérisation accélérée de nos vies impose une extension des obligations de sécurité informatique.

Les réflexes indispensables des utilisateurs

Il peut arriver qu’un Etat soit plus directement concerné. La faille utilisée par les pirates de WannaCry pour diffuser leur ­logiciel malveillant à grande échelle a initialement été découverte par la NSA (une des agences de sécurité américaines). ­Pendant des années, la NSA s’en est servie sans avertir Microsoft. C’était prendre le risque de voir cette vulnérabilité utilisée par des acteurs mal intentionnés ou mise en place publique : dans les deux cas, on joue avec le feu. Lire la suite.

Revenir en haut