Une cyberattaque mondiale a été recensée par une agence italienne. Il s’agit d’une campagne de demande de rançon causée par l’exploitation d’une faille de ESXi. Malgré le fait que cette dernière ait déjà été corrigée par ses créateurs, plusieurs entreprises ont été touchées par l’attaque. Une agence américaine sensibilise ainsi les organisations à respecter l’hygiène informatique.
Le 5 février 2023, des pays ayant une excellente avancée technologique ont été impactés par des cyberattaques. Ceux-ci sont notamment des pays européens, mais également le Canada et les États-Unis. En outre, l’attaque a touché des milliers de serveurs informatiques selon l’Agence Nationale de la Sécurité des Systèmes d’Information ANSSI.
Expert en cybersécurité , l’agence de cybersécurité italienne ACN a cerné l’ampleur de la menace dès les premières attaques. Celle-ci affirme que les pirates ont exploité une faille déjà signalée sur des serveurs informatiques spécifiques. Grâce à ce manquement, les assaillants ont pu installer des ransomwares dans les machines des organisations.
Les informations sur l’attaque
En ciblant les serveurs informatiques, les cybercriminels ont pu installer leur logiciel malveillant dans l’ensemble des ordinateurs de ce dernier. C’est de cette manière que l’attaque a pu affecter d’innombrables organisations. La cible était un logiciel utilisé en entreprise, ESXi . Et l’attaque de ce type de machine a permis aux cyberpirates d’avoir accès au parc de machines virtuelles des entreprises .
Concrètement, ESXI est en quelque sorte la dématérialisation du serveur conventionnel. Appelées hyperviseurs , ces machines ont la performance d’hébergement de plusieurs ordinateurs, virtuellement . La différence de l’ESXi des autres serveurs, c’est qu’elle est une version « dématérialisée » des centres intranet . En d’autres termes, si l’équipe IT d’une entreprise avait 30 machines à gérer, ESXi leur permet de le faire sur une seule interface. Cette dernière assure la gestion des ordinateurs virtuels connectés.
L’ANSSI appuie l’ampleur de cette attaque :
Le ciblage des solutions de virtualisation est devenu plus courant, […] Cela permet de prendre le contrôle de l’ensemble des machines virtuelles hébergées dans l’environnement.
Par ailleurs, le malware utilisé dans cette attaque à dimension internationale est un code informatique arbitraire qui peut être exécuté à distance . Ce n’est pas tout, il est également estimé automatique . Les experts présument que le logiciel malveillant a recherché les ordinateurs ESXi ayant une sécurité défaillante . Il a ensuite chiffré les fichiers de chaque machine avant de demander une rançon . Le tout dans un délai inédit .
Les pays touchés par la cyberattaque
Malgré le fait que l’attaque sur l’ESXi ait affecté plusieurs organisations, le gouvernement italien affirme que la sécurité nationale n’est pas touchée . Il déclare également qu’aucun organisme ou ministère important n’a été victime de cette attaque. Outre l’Italie, la Grande-Bretagne et la France comptent également parmi la liste des pays touchés par cette intrusion.
Le point commun de ces pays, c’est le manque de considération de la protection informatique . Pour résoudre cela, une agence américaine affirme qu’elle collabore avec des acteurs du secteur privé et public afin de comprendre les conséquences de cet incident. Celle-ci est la Cybersecurity and Infrastructure Security Agency ou CISA. L’objectif des investigations de cette organisation est de sensibiliser les entreprises pour la mise à jour de sécurité de la faille qui a permis l’attaque.
En effet, malgré le fait qu’un patch de sécurité ait été mis à disposition des utilisateurs après février 2021, il n’a pas été appliqué à temps .
Le délégué général du Club des experts de la sécurité de l’information et du numérique, Alain Bouillé, affirme cette cause :
Le non-respect de l’hygiène numérique de base, y compris de la part d’administrateurs informatiques, reste la première cause des incidents de sécurité.
Alain Bouillé
De plus, cette attaque a permis de comprendre que les pirates peuvent identifier les outils informatiques qui n’ont pas été mis à jour . C’est d’ailleurs pour cela que les experts en cybersécurité pensent que cette intrusion n’était pas ciblée sur une entreprise en particulier.