Cyberattaque mondiale : l'usine Renault de Douai à l'arrêt

Lundi 15 mai

L'usine Renault de Douai (Nord), l'une des plus importantes du constructeur automobile en France, était «préventivement» à l'arrêt dans la matinée du 15 mai en raison de la cyberattaque mondiale, a affirmé un porte-parole de l'usine à l'AFP.

Ainsi, quelque 3 500 salariés ont été mis au chômage technique partiel ou bénéficieront d'un jour de congé collectif ce 15 mai. La direction avait prévenu les syndicats le 14 mai à midi de la fermeture de l'établissement, qui devrait rouvrir le matin du 16 mai.

«Nos équipes informatiques travaillent aujourd'hui sur le site, ainsi que des salariés de la logistique car l'approvisionnement se poursuit, et vont tout faire pour le sécuriser pour que le travail puisse reprendre demain matin [le 16 mai]», a déclaré un responsable de la communication de l'usine.

L'usine de Douai compte près de 5 500 employés (3 700 CDI et 1 800 intérimaires) et produit des Talisman, Scénic et Espace. Créée en 1970, elle occupe une superficie de 350 hectares, d'après le site internet de la marque automobile française. Environ 800 véhicules sortent chaque jour des chaînes de montage, d'après Force ouvrière.

De son côté, un porte-parole au siège de Renault a confirmé que la production reprendrait le matin du 16 mai à Douai, puis précisé que toutes les autres usines du groupe dans le monde avaient redémarré.

Des «centaines de milliers» d'ordinateurs PC et près de 30 000 institutions, dont des agences gouvernementales, ont été touchés en Chine par la cyberattaque mondiale en cours depuis vendredi, selon une entreprise de référence de la cybersécurité dans ce pays.

Pas moins de 29 372 institutions, allant d'organismes gouvernementaux aux universités, en passant par des distributeurs de billets et des hôpitaux, ont été «infectés» au cours de cette attaque informatique sans précédent, a annoncé Qihoo 360, l'un des premiers fournisseurs de logiciels antivirus en Chine.

Dans un rapport daté du 14 mai, Qihoo 360 explique que ce logiciel malveillant s'est répandu particulièrement rapidement dans les établissements d'enseignement supérieur, affectant plus de 4 000 universités et centres de recherche.

La vague de cyberattaques qui sévit dans le monde depuis le 12 mai a fait «d'autres» victimes en France, pas seulement Renault, et il faut s'attendre à des «répliques régulières» dans les prochains jours, a prévenu le patron de l'Agence nationale de la sécurité des systèmes d'informations (Anssi) Guillaume Poupart.

Il ne faut néanmoins pas vraiment redouter un «cyberchaos», a-t-il déclaré le 15 mai au micro de France Inter. «Dans les pays qui ont recommencé à travailler, il n'y a pas de déclenchement catastrophique», a-t-il expliqué.

En France, Renault a indiqué dès le 13 mai avoir été touché par cette agression qui l'a obligé à arrêter la production dans plusieurs usines du groupe. Guillaume Poupart a, lui, indiqué qu'il y avait «d'autres» cibles visées en France mais n'a pas souhaité les nommer.

«Les victimes restent avant tout des victimes et ce n'est pas à moi de rajouter du malheur au malheur», a-t-il justifié, avant d'ajouter : «On travaille avec eux, on essaie vraiment de rétablir au plus vite dans les cas les plus problématiques.»

«Surtout il faut s'attendre à avoir dans les jours, les semaines à venir, des répliques régulières», a-t-il affirmé. «Les attaquants mettent à jour leurs logiciels, les rendent plus performants, d'autres attaquants s'inspirent de leurs méthodes pour conduire des attaques à leur propre profit», a-t-il prédit au regard d'expériences passées.

Dimanche 14 mai

Le directeur d'Europol annonce que les cyberattaques ont fait environ «200 000 victimes dans au moins 150 pays».

Samedi 13 mai

Un jeune chercheur en cybersécurité basé au Royaume-Uni a expliqué comment il avait réussi à freiner la propagation du virus «Wannacry», a relevé l'AFP. Sur son blog, ce résident britannique de 22 ans attaché à son anonymat, raconte comment il a trouvé un moyen de ralentir l'attaque qui a touché une centaine de pays et perturbé le bon fonctionnement de dizaines d'entreprises et organisations.

Le chercheur en cybersécurité a expliqué avoir trouvé la parade en achetant un nom de domaine présent dans les lignes de code du ransomware pour quelques dollars. «Généralement un logiciel malveillant est relié à un nom de domaine qui n'est pas enregistré. En enregistrant simplement ce nom de domaine, on arrive à stopper sa propagation», a-t-il dit.

Sur Twitter, il a avoué qu'il ne savait pas, au moment d'enregistrer le domaine, que la manœuvre suffisait à arrêter le virus et que son action était donc «accidentelle au départ».

«Il a clairement réussi à enrayer la propagation», a assuré à l'AFP Marco Cova, spécialiste en cybersécurité chez Lastline. De là à l'arrêter complètement ? Laurent Maréchal, expert en cybersécurité chez McAfee, a préféré rester prudent. «Il se pourrait très bien que le logiciel vienne à se décliner sous d'autres formes», a-t-il dit à l'AFP.

Microsoft a réactivé une mise à jour pour aider les utilisateurs de certaines versions de son système d'exploitation Windows à faire face à l'attaque informatique massive utilisant le logiciel de rançon appelé «Wannacry».

Dans une publication sur son site, Microsoft rappelle avoir déjà publié en mars une mise à jour pour empêcher ce genre d'attaque, la faille dans son système d'exploitation ayant été précédemment divulguée dans des documents piratés de l'agence de sécurité américaine NSA.

Le virus s'attaque notamment à la version Windows XP, qui n'est en principe plus supportée techniquement par Microsoft et ne fait plus l'objet de mises à jour depuis 2014 car remplacée par Windows 10. Mais face à l'ampleur de l'attaque, l'entreprise a fait savoir qu'elle réactivait les procédures d'assistance à ses clients pour cette version.

L'ancien hacker espagnol Chema Alonso, devenu responsable de la cybersécurité du géant des télécommunications espagnol Telefonica, a assuré le 13 mai sur son blog que malgré le bruit médiatique qu'il avait produit, le ransomware (logiciel de rançon) employé dans la vague d'attaques mondiales n'avait eu qu'un impact limité.

Selon le dernier décompte (il serait possible de le voir sur le portefeuille BitCoin utilisé pour les hackings), assure-t-il, seulement 6 000 dollars ont été payés aux rançonneurs dans le monde.

Le logiciel malveillant verrouille les fichiers des utilisateurs et les force à payer une somme d'argent sous forme de monnaie virtuelle BitCoin pour en recouvrer l'usage.

L'usine du constructeur japonais Nissan, partenaire de Renault, à Sunderland au Royaume-Uni, a aussi été touchée par la vague d'attaques informatiques, a fait savoir une porte-parole de la marque.

«Comme beaucoup d'organisations, notre usine au Royaume-Uni a fait l'objet d'une attaque de ransomware affectant certains de nos systèmes le 12 mai», a déclaré la porte-parole dans les colonnes du journal britannique Express. Elle n'a pas précisé dans quelle mesure la production avait été affectée.

La cyberattaque internationale, qui a touché plusieurs dizaines de pays dans le monde, n'a pour l'instant pas fait d'autres victimes que Renault dans l'Hexagone, a indiqué le 13 mai l'Agence nationale de la sécurité des systèmes d'informations (Anssi).

L'institution a toutefois appelé à la vigilance les entreprises et autres organismes qui pourraient être ciblés par cette attaque.

L'Anssi recommande notamment l'application immédiate des mises à jour de sécurité, devant permettre de corriger les failles des systèmes d'exploitation Windows employées pour la propagation du virus et, en cas d'incident, la déconnexion des équipements compromis.

Elle demande enfin expressément de ne pas payer de rançon aux hackers. «Le paiement ne garantit en rien le déchiffrement de vos données et peut compromettre le moyen de paiement utilisé», explique-t-elle.

Le parquet de Paris a ouvert une enquête après la vague de cyberattaques qui a frappé plusieurs pays, dont la France où le fleuron automobile Renault a été touché, a appris l'AFP de source judiciaire.

Une enquête de flagrance a été ouverte au soir du 12 mai pour «accès et maintien frauduleux dans des systèmes de traitement automatisé de données», «entraves au fonctionnement [de ces systèmes]», «extorsions et tentatives d'extorsions». L'enquête du parquet de Paris, qui dispose d'une compétence nationale pour ce type d'attaques informatiques, vise notamment les atteintes subies par le groupe Renault, a précisé la source judiciaire.

Le système bancaire russe a été la cible d'une attaque informatique massive, a indiqué la banque centrale du pays, citée par des agences d'information. Celles-ci rapportent que plusieurs ministères et le réseau ferroviaire ont été également touchés.

Le 12 mai, plusieurs agences gouvernementales russes, dont le ministère de l'Intérieur, avaient fait état d'attaques informatiques. Environ mille ordinateurs de ce ministère ont été touchés. Néanmoins, le ministère russe de la Santé a déclaré avoir pu faire échec rapidement à un «début d'attaque».

Plusieurs sites de production du constructeur Renault ont été mis à l'arrêt en France en raison de la vague internationale de cyberattaques qui a touché l'entreprise automobile, a fait savoir la direction.

L'arrêt de la production fait partie des mesures de protection qui ont été prises pour éviter la propagation du virus, a déclaré à l'AFP une porte-parole de la marque au losange, sans préciser le nom des sites concernés.

«On est en train de faire le tour des usines», a précisé l'intéressée. Selon une source syndicale, l'usine de Sandouville (Seine-Maritime), qui emploie 3 400 salariés, serait concernée. 

«Toutes les équipes techniques sont sur place pour faire un diagnostic, procéder à une analyse technologique et engager une action pour reprendre la production au plus vite», a ajouté ce responsable, évoquant une reprise de la production dès le matin du 15 mai.

Les ministres des Finances du G7, réunis à Bari en Italie, ont décidé de s'engager dans la lutte contre les cyberattaques.

L'attaque informatique internationale affectant une centaine de pays et des centaines d'entreprises et d'organisations le 12 mai est «d'un niveau sans précédent», selon l'Office européen des polices Europol. Elle exigera une enquête internationale complexe pour identifier les coupables, a par ailleurs indiqué Europol dans un communiqué daté du 13 mai.

Le Centre européen de cybercriminalité (EC3) d'Europol collabore avec les unités de cybercriminalité des pays affectés et les principaux partenaires industriels pour atténuer la menace et assister les victimes, annonce également le communiqué d'Europol.