Le groupe français Saint-Gobain a annoncé, mardi 27 juin, avoir été touché par le virus Petya.

Le groupe français Saint-Gobain a annoncé, mardi 27 juin, avoir été touché par le virus Petya. | ERIC PIERMONT / AFP

Le parquet de Paris a ouvert, mardi 27 juin, une enquête de flagrance à la suite des signalements par plusieurs entreprises françaises d’une contamination par le virus informatique Petya, qui a touché plusieurs pays mardi.

Cette enquête a été ouverte pour « accès et maintien frauduleux dans des systèmes de traitement automatisé de données », « entrave au fonctionnement » de ces systèmes, « extorsions et tentatives d’extorsion », a appris l’agence France-Presse.

En France, l’industriel Saint-Gobain, le distributeur Auchan et la SNCF ont déclaré avoir été touchés par le virus. Ce dernier touche la partie du disque dur qui contient les logiciels utilisés au démarrage de l’ordinateur, le rendant totalement inutilisable, là où la plupart des ransomwares habituels se « contentent » de bloquer l’accès aux documents personnels.

Lire aussi : Saint-Gobain, Maersk, WPP… les principales entreprises touchées par le virus Petya

Rançon en bitcoins

Selon plusieurs entreprises de sécurité informatique, cette souche de Petya utilise EternalBlue, un outil issu de la NSA, la puissante agence de renseignement américaine. C’était lui qui était déjà responsable de la propagation éclair du rançongiciel WannaCry, en mai. La faille qu’il utilise est pourtant corrigée depuis le mois d’avril par Microsoft, ce qui signifie que les machines touchées par cette dernière variante de Petya n’étaient vraisemblablement pas mises à jour.

Le logiciel demande aux victimes de payer une rançon en bitcoins, une monnaie virtuelle, pour pouvoir débloquer leur ordinateur. La cible doit ensuite envoyer un e-mail à une adresse indiquée avec un identifiant spécifique pour prouver qu’il a bien payé la rançon et donc récupérer l’accès à son système. Le fournisseur e-mail utilisé par le ou les rançonneurs, Posteo, a précisé sur son site avoir fermé l’adresse incriminée. Ce qui signifie que, même si une victime choisit de payer la rançon, elle ne pourra plus récupérer l’accès à son ordinateur.

En revanche, selon un bulletin émis mardi en fin d’après-midi par le centre d’alerte de l’Agence nationale de sécurité des systèmes d’information (Anssi), le garde du corps numérique de l’Etat, le vecteur de diffusion demeure « inconnu » à ce stade. Cependant, il précise que Petya pourrait, outre les postes de travail, toucher également les serveurs.

Comment éviter d’être infecté par Petya ?

On ignore encore comment le virus Petya s’est précisément diffusé, mais les ransomware se propagent généralement via des pièces jointes de courriels, avant de se diffuser sur le réseau local. Il est fortement recommandé de ne pas ouvrir les pièces jointes provenant de courriels dont on ne connaît pas le destinataire, et plus généralement d’appliquer les mises à jour de sécurité de Windows, si elles ne sont pas automatiques. Il est aussi prudent de faire des sauvegardes sur des supports non connectés à un Internet, comme des disques durs externes.

Pour les ordinateurs ayant été infectés, l’Anssi, le garde du corps numérique de l’Etat français, recommande par ailleurs de ne jamais payer la rançon demandée, notamment parce qu’il n’est jamais garanti de recevoir une clé de déchiffrement. Il est conseillé de déconnecter immédiatement la machine infectée du réseau et d’attendre un correctif ou la publication d’un outil de déverrouillage.