Auditeur indépendant en cybersécurité, Romain du Marais est aussi le créateur de la chaîne de vulgarisation "Pour1nfo". Pour Sciences et Avenir, il décrypte l'attaque informatique révélée le 6 février 2023 et qui a vu un "rançongiciel" cibler, dans le monde entier, des machines bien particulières.
Une attaque pour viser les "hyperviseurs"
Sciences et Avenir : On parle d'un piratage informatique mondial. De quoi s'agit-il ?
Romain du Marais : D'une campagne de masse - puisque des milliers de machines ont été touchées - pour infecter un type d'ordinateur très particulier qui s'appelle les ESXi. Les hackers ont ciblé toutes ces machines exposées sur internet, quelque soit leurs pays. Mais il s'avère que la France a été particulièrement frappée.
Que sont ces ESXi ?
On les appelle aussi des "hyperviseurs". Pas les machines de Madame ou Monsieur Tout-Monde. Mais de gros ordinateurs employés par des sociétés qui servent à héberger virtuellement d'autres ordinateurs.
C'est-à-dire ?
Pour le comprendre, imaginez-vous 10 ans en arrière. Quand une entreprise avait alors besoin de faire tourner différents outils informatiques - comme un intranet, un serveur mail, etc. - pour chacun de ces dispositifs elle devait acheter un ordinateur physique spécifique, le brancher connecter avec les câbles adaptés, mettre une alimentation ad hoc... Evidemment, au fur et à mesure, la salle des ordinateurs devient trop petite, les câbles s'emmêlent, bref ce n'est plus très pratique. Aujourd'hui, l'informatique moderne permet de s'affranchir de ces contraintes physiques en employant des ordinateurs comme les hyperviseurs qui servent à simuler d'autres ordinateurs. Résultat, plutôt que de se retrouver avec 30 machines à gérer, le service informatique n'en a qu'une seule. S'il est nécessaire d'ajouter une nouvelle machine au réseau - mettons un serveur mail -, il suffit de se connecter à l'interface d'administration du ESXi pour créer une nouvelle machine virtuelle.
Les pirates n'avait jamais ciblé de ESXi ?
Si. Mais ce qui frappe ici, c'est l'ampleur de l'attaque. Plus de 2000 machines auraient été attentes. Dont un bon tiers en France ! La charge malveillante de l'attaque est constituée d'un ransomware classique ("rançongiciel") autrement dit quelque chose qui va chiffrer les fichiers. Sauf que sur un hyperviseur, les fichiers sont comme on vient de le dire des ordinateurs virtuels. En visant ce type de machine, on fait boule de neige en touchant mécaniquement via une cible unique tout un parc de machines virtuelles. C'est un impact très bloquant pour les entreprises.
Un cyberpiratage automatisé
Par ailleurs, l'attaque paraît avoir été automatisée.
Pour infecter autant de machine en si peu de temps, l'attaquant a dû écrire un programme pour scanner l'intégralité du web à la recherche de ces ordinateurs ESXi vulnérables. Et dès qu'il en trouvé un de fragile, il l'a exploité automatiquement. C'est-à-dire qu'il a chiffré automatiquement les fichiers de la machine ciblée et a demandé une rançon de manière automatique. Cet élément est assez nouveau. Dans les attaques de masse classique, les attaquants vont insérer dans les réseaux ciblés un petit logiciel qui permet de revenir plus tard, ou de vendre cet accès à des spécialistes du ransomware. Là, tout est fait d'un coup, cela paraît inédit.
Il se trouve que cette attaque coïncide, à 24 heures près, avec le "Internet safer day".
Cette journée est l'occasion de mettre en garde avant tout les étudiants, les enfants et les jeunes quant à leur utilisation d'internet. Ce ne sont pas forcément les cibles d'une attaque comme celle dont nous venons de parler. Mais c'est une bonne occasion de sensibiliser le grand public à la question de la cybersécurité qui est souvent exposée dans les médias de façon un peu éloignée. Alors qu'en fait elle concerne chacune et chacun d'entre nous.
