BFM Business

De grandes entreprises touchées par une méga cyberattaque en Espagne

Le siège de l'opérateur Telefonica à Madrid a été la principale victime de cette cyberattaque, qui, selon les premières analyses proviendrait de Chine.

Le siège de l'opérateur Telefonica à Madrid a été la principale victime de cette cyberattaque, qui, selon les premières analyses proviendrait de Chine. - Telefonica

L'opérateur espagnol Telefonica a été victime d'une attaque de type Ransomworm. Tous les collaborateurs ont dû éteindre leur PC ainsi que les serveurs. Plusieurs grandes entreprises ont fait de même par mesure de précaution.

Depuis ce vendredi matin, l'Espagne est victime d'une cyberattaque massive. Premier touché, l'opérateur Telefonica a rapidement demandé à tous ses collaborateurs d'éteindre leurs ordinateurs au risque de se retrouver bloqués face à un écran bleu.

Telefonica assure que les services aux usagers ne sont pas touchés mais plusieurs entreprises dont les serveurs sont hébergés chez Telefonica affirment avoir déjà pris des mesures de précaution. Les banques Santander et BBVA ont instantanément demandé à leurs employés de ne plus passer d'ordres financiers. L'entité espagnole de Capgemini a fait éteindre tous les PC. Les groupes énergétiques Iberdrola et Gas Natural ont également demandé à leurs collaborateurs de cesser toute activité. Chez Gas Natural, c'est par mégaphone dans les couloirs que l'ordre a été donné. Les autres opérateurs présents sur le territoire espagnol comme Vodafone et Orange Espagne ont aussi réagi et fermé une partie de leurs serveurs tout en plaçant leurs liens réseaux sous haute surveillance.

Un virus qui se propage automatiquement par le réseau

Selon les premières analyses, il s'agirait d'une attaque de type ransomworm, une variante plus évoluée des fameux ransomware ou rançongiciels. Elle aurait pour origine des serveurs situés en Chine. Ce type de virus bloque les informations d'un ordinateur. Le propriétaire peut retrouver l'ensemble de ses données une fois qu'il a versé une rançon aux pirates, en général en monnaie bitcoins. Le principe du ransomworm est d'agir comme un ver de ransomware: le virus ne va pas utiliser la messagerie qui nécessite une action humaine, mais il va se répliquer automatiquement de PC en PC en passant par le réseau et plus particulièrement par les systèmes de partage de fichiers sous Windows comme cela a visiblement été le cas chez Telefonica. La dangerosité de ce type d'attaques est qu'elle agit de façon récurrente. Une fois que la rançon est payée et que vous avez récupéré vos fichiers sur un serveur ou un ordinateur, le fichier malveillant n'est pas détruit pour autant et grâce à son système automatisé de propagation, va laisser des "cadeaux" empoisonnés un peu partout sur le réseau.

Face au succès des ransomwares (qui auraient coûté plus d'un milliard de dollars aux entreprises américaines en 2016, avec plus de 4000 attaques quotidiennes selon l'éditeur Symantec), le développement du ransomworm pourrait s'accélérer. Une étude du spécialiste en cybersécurité Trustwave évalue la rentabilité de ce type de virus à 1425%.

Frédéric Simottel