Béarn : un virus russe s’attaque aux systèmes informatiques

Le 21 décembre dernier, Christian Sottou, secrétaire général de la fédération de la boulangerie, ouvre un mail en toute confiance. Reconnaissant des noms familiers dans la liste de distribution, il ne se méfie pas lorsqu’il ouvre la pièce jointe : « Mon écran est assez vite devenu noir dans la partie bureautique, puis cela a été au tour de la messagerie. Une fois mon poste hors d’usage, l’attaque s’est portée contre le serveur. »

Christian Sottou vient de subir une attaque de TeslaCrypt, un virus informatique venu de Russie. Il refuse de payer la somme demandée par les cybercriminels pour désactiver le virus. Il avertit immédiatement Cejid, sa société de maintenance informatique qui intervient à distance, dans un premier temps, et réussit à préserver le serveur.

La même mésaventure est arrivée mardi dernier, le 26 janvier, au cabinet palois d’expertise comptable de Bernadette Jarige. « C’est une collaboratrice qui est allée sur un site de déclaration sociale en ligne. Elle a récupéré le virus sans même ouvrir de pièce jointe« , témoigne-t-elle. Le virus a généré une extension « .exe » sur toute la partie bureautique du réseau. Au total, cinq des neuf postes ont été contaminés. Au final, outre le temps perdu, le cabinet d’expertise, comme la fédération de la boulangerie a consacré 2 000 euros à cette maintenance exceptionnelle. L’attaque, aussi, est un peu exceptionnelle. D’autres ont également été victimes du même virus au cours des derniers mois, comme la mairie de Morlaàs ou le conseil départemental.

« Cela a été plus fort que d’habitude. Le virus est passé à travers les mailles des sauvegardes habituelles. D’autant que cette fois, le mécanisme qui déclenche l’installation du virus est activé par l’utilisateur lui-même », explique Jean-Marc Lom, expert de la société paloise Héliantis, qui insiste sur un conseil primordial : « Il faut que les gens soient conscients que les sauvegardes sont essentielles. »

Le département en état d’alerte

Diffusé chez les professionnels, un message d’alerte de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) informe de l’existence, « depuis le début du mois de décembre, et massivement depuis la mi-décembre 2015, d’une vague de pourriels dont le taux de blocage par les passerelles anti-pourriel est relativement faible. Ces pourriels ont pour objectif la diffusion du rançongiciel TeslaCrypt ».

Il s’agit là d’un programme malveillant qui chiffre les données du poste compromis et cible également les partages de fichiers accessibles depuis le compte utilisateur dont la session est compromise. Celui-ci est exécuté par une action de l’utilisateur. La victime est ensuite invitée à verser de l’argent afin que l’attaquant déchiffre les fichiers ciblés.

A noter qu’une campagne d’information avait déjà été lancée en mars 2015 par la gendarmerie sur ces attaques de type « ransomware ».

 

Source : http://www.larepubliquedespyrenees.fr/2016/01/30/,1304859.php

Pour en savoir plus : http://cert.ssi.gouv.fr/