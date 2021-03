Une faille de sécurité dans les serveurs de Microsoft laisse présager une vague de cyber attaques sans précédent. Il serait déjà trop tard pour les entreprises belges.

Une liste circule depuis quelques jours sur le darkweb. Elle contient les noms de 1.200 entreprises belges qui ont comme point commun d'utiliser des serveurs de Microsoft Exchange. "Dans cette liste, il y a 5% d'entreprises qui ont plus de 500 employés. Le reste, ce sont des PME", nous explique Geert Baudewijns, expert en cybersécurité chez Secutec. Plusieurs failles de sécurité ont été découvertes sur les serveurs de Microsoft Exchange quand ils sont gérés directement par les entreprises.

Des failles dans un système informatique, cela arrive tous les jours. La pratique veut que les chercheurs ayant identifié la faille préviennent le fournisseur – ici Microsoft – pour que celui-ci prépare un patch pour corriger la vulnérabilité et qu'il annonce publiquement la chose quand il est prêt.

"Les criminels entrent dans le réseau via la faille et installent une porte dérobée." Charles Cuvelliez Professeur à L'ULB

Dans ce cas précis, cela ne s'est pas passé comme prévu. Les criminels du clavier ont eu un coup d'avance, car ils exploitaient déjà la faille découverte avant même que Microsoft ne soit au courant. "Un des groupes de chercheurs avait cependant averti Microsoft qu'un groupe de criminels appelé depuis par Microsoft Hafnium était tranquillement occupé à exploiter cette ou plutôt ces vulnérabilités", précise Gaël Hachez, directeur cybersécurité chez PWC.

Une course perdue d'avance

Microsoft s’est donc lancé dans une course contre la montre qu’il savait d’avance perdue. Une mise à jour corrigeant la vulnérabilité a été développée le plus rapidement possible, Microsoft l’a publiée et a annoncé la découverte des failles, les entreprises ont appliqué la mise à jour, mais les pirates savaient que cela allait arriver. Ils ont pris de vitesse les entreprises pour exploiter la faille avant que ces dernières n’aient eu le temps de faire la mise à jour. Ils avaient tout prévu. "Les criminels entrent dans le réseau via la faille et installent une porte dérobée", détaille Charles Cuvelliez, professeur à l’ULB.

"Nous recevons 2 à 3 alertes de hacking par semaine en temps normal. Ici nous sommes déjà à 34 en 72 heures." Geert Baudewijns Expert en cybersécurité chez Secutec

"Si la panique monte auprès des autorités, c’est parce que les criminels ont sans doute massivement installé ces portes d’entrée dérobées - et pas toujours les mêmes – chez leurs victimes. Via celles-ci, ces criminels peuvent donc revenir chez leurs victimes quand ils veulent", poursuit celui qui est aussi Chief Information Security Officer chez Belfius. En d’autres termes, les entreprises qui pensaient être tranquilles une fois la mise à jour effectuée ne le sont pas du tout, car le pire serait à venir.

Les demandes de rançon arrivent

Pour l’instant les conséquences sont encore minimes, mais les experts redoutent les prochaines semaines. "Sur les 34 entreprises belges infectées dont nous avons la charge, il n’y a pas encore eu de demande de rançon. Je pense que les différents groupes de hackers actifs sur cette faille tentent d’abord de contaminer le plus de sociétés et vont ensuite lancer la phase de rançon", précise Geert Baudewijns, chez Secutec. Pour cela, les hackers placent un "ransomware" dans le système de l’entreprise et cryptent les données. Impossible pour l’entreprise d’y avoir accès à moins de payer.

"Nous pourrions être confrontés à un tsunami de cyberattaques contre des organisations vulnérables dans les semaines à venir." Centre pour la cybersécurité en Belgique

Selon nos différents interlocuteurs, il y aurait entre 4 et 7 groupes de hackeurs actifs sur ces failles au moment d’écrire ses lignes, bien plus qu’à l’habitude. Ce qui leur fait dire que le nombre de cas va exploser au cours des prochains jours. "Nous recevons normalement 2 à 3 alertes de hacking par semaine en temps normal. Ici nous sommes déjà à 34 en 72 heures." La liste des 1.200 entreprises belges vulnérables découverte sur le darknet n’a fait que renforcer ces inquiétudes.

"Tsunami de cyberattaques"

Une inquiétude partagée par le Centre pour la cybersécurité en Belgique (CCB). Selon lui, plus d'un millier de serveurs Microsoft Exchange pourraient être concernés en Belgique. "Il est clair que cette vulnérabilité est activement exploitée de différentes manières et peut-être par plusieurs organisations criminelles. Nous pourrions être confrontés à un tsunami de cyberattaques contre des organisations vulnérables dans les semaines à venir", avertit le centre.