« Cyberattaques: le pire est à venir ! »

Le virus « WannaCry », qui s’est massivement propagé dans le monde entier le week-end dernier, a mis encore un peu plus en lumière les risques et les dégâts potentiels des cyberattaques. Mais cette dernière défaillance informatique, dont l’origine n’a toujours pas été identifiée, aurait toutefois pu être bien pire.

C’est un problème auquel le monde devrait avoir affaire bien plus souvent à l’avenir. La propagation massive du virus « WannaCry » (également nommé « WannaDecryptor », « WanaCrypt0r 2.0 » ou « WCry ») vendredi 12 mai et les jours suivants, a largement mis en lumière les risques et dégâts potentiels encourus lors de vastes cyberattaques de ce type. Et dans un monde toujours plus connecté, ce genre de périls informatiques semble plus que jamais à éviter.

Mais si cette défaillance informatique, dont l’origine n’a pas encore été identifiée avec certitude, ou celle qui semblait en cours mercredi, ont mis la planète sens dessus dessous quelques jours (au moins 200.000 ordinateurs ont été bloqués dans plus de 150 pays, provoquant le versement de plusieurs dizaines de milliers d’euros de rançon), elle aurait toutefois pu être bien plus grave.

Pour le patron des services secrets néerlandais, cité par Le Soir, le monde pourrait d’ailleurs connaître prochainement un « acte grave de sabotage numérique » provoquant « chaos et désordre ». Il détaille : « Imaginez ce qu’il pourrait se passer si le système bancaire tout entier était saboté durant un jour, deux jours, ou une semaine. Ou s’il y avait une panne dans notre réseau de transports. Ou si les contrôleurs de trafic aérien étaient confrontés à des cyberattaques pendant qu’ils donnent des instructions à des vols. Les conséquences seraient catastrophiques. »

Du cyberterrorisme aux cyberguerres, tour d’horizon – non-exhaustif – de ces scénarii du pire.

Des administrations ou des services publics paralysés

Les craintes des experts en cybersécurité se portent notamment sur une éventuelle paralysie d’administrations ou d’institutions publiques. Et tout particulièrement des services d’urgences. Une paralysie qui a failli se produire vendredi au Royaume-Uni, le virus « WannaCry » ayant semé la zizanie dans le système de santé britannique (NHS). Un tiers des hôpitaux et cliniques d’Angleterre et nombre des 8000 cabinets médicaux du pays ont été infectés. Des centaines de rendez-vous ont été annulés, des opérations et traitements anti-cancer retardés.

En 2015, le journal Les Echos rapportait que l’université de Cambridge avait imaginé un scénario catastrophe où des hackers s’en prennaient au réseau électrique des États-Unis. Résultat : les pertes liées à une gigantesque panne de courant seraient suceptibles d’atteindre 1000 milliards de dollars.

« Il y a des attaques sur des infrastructures que l’on pourrait assimiler à du cyberterrorisme », expliquait à nos confrères de l’AFP Eugene Kaspersky, patron de la société de sécurité informatique Kaspersky Lab, en marge du congrès mondial des télécoms (MWC) de Barcelone en mars dernier. « Ces dernières années nous avons pu en observer contre le réseau électrique en Ukraine, contre internet en Estonie, contre des hôpitaux ou encore contre (la compagnie pétrolière nationale) Saudi Aramco. (…) Il existe énormément d’ingénieurs très talentueux qui seraient tout à fait prêts à réaliser ce genre d’actes s’ils sont bien payés, et cela pourrait avoir des conséquences importantes sur les pays visés. »

Des réseaux et moyens de transports hors service

Dans la même veine, un blocage par cyberattaque des réseaux ou des moyens de transports pourrait engendrer un désordre sans bornes. Des voitures aux avions en passant par les bus, trams, métros ou autres trains, les véhicules sont de plus en plus bardés de composants électroniques. De quoi légitimement faire redouter d’éventuelles failles.

« Des voitures connectées font craindre le risque de dommages physiques comme matériels, en cas d’attaque », estime par exemple Rick Ferguson, vice-président chargé des recherches sur la sécurité chez Trend Micro. « Si vous arrivez à entrer par le système de divertissement et continuez votre chemin à travers (le système informatique de) la voiture pas suffisament sécurisée et que vous désactivez les freins, vous pouvez causer un grand nombre de dommages. » Des dommages qui seraient bien plus graves s’ils concernaient un avion dont des hackers arriveraient à prendre le contrôle à distance. En 2015, comme l’avait repéré Europe 1, le Government Accountability Office (l’organisme d’audit du Congrès américain) s’inquiétait de cette possibilité.

Mais un pirate pourrait aussi cibler le système électronique gérant les feux de circulation d’une agglomération et ainsi créer la pagaille. « Plus il y a d’appareils connectés, plus grande est la surface disponible (pour des attaques) », juge pour sa part Vincent Diaz, analyste chez Kaspersky Lab. En novembre dernier, des pirates informatiques s’étaient attaqués au réseau des transports en commun de San Francisco. Si le trafic de la cité californienne n’avait pas été perturbé, les machines de vente des tickets avaient alors cessé de fonctionner durant 24 heures.

Des pans entiers de l’économie à l’arrêt

Là encore, la cyberattaque de vendredi dernier a montré – dans des proportions encore très relatives – que l’économie d’un pays pouvait se retrouver ralentie sinon figée. De grandes sociétés américaines, espagnoles, portuguaises, japonaises ou chinoises ont en effet été frappées. Mais la France n’est pas en reste : plusieurs usines du constructeur automobile Renault – notamment celle de Douai, l’une des plus importantes – se sont retrouvées empêchées de fonctionner normalement jusqu’à lundi (mardi pour le site du Nord).

Dans le cas où des pirates informatiques s’en prendraient à toutes, ou presque, les entreprises d’un secteur économique-clé, les conséquences pourraient être autrement plus graves. « Selon nos estimations, les cyberattaques coûtent, au niveau mondial, plus de 400 milliards de dollars par an », s’inquiète Inga Beale, présidente du Lloyd’s de Londres, dans les colonnes de La Tribune. « Non seulement elles contraignent parfois les entreprises à arrêter leurs transactions, mais elles mettent surtout sérieusement à l’épreuve la confiance de leurs clients, ce qui engendre des pertes considérables. Les entreprises subissent en outre les coûts de la réparation de leurs systèmes. »

Selon une étude du Forum économique mondial publiée en 2014, les cyberattaques pourraient engendrer des pertes économiques allant jusqu’à 3000 milliards de dollars (2700 milliards d’euros) d’ici 2020 si les firmes et les gouvernements tardent à agir dans le renforcement de leur protection.

Des cyberguerres entre États

Aussi effrayants soient-ils, tous ces scénarii semblent cependant ne pas être grand-chose à côté de ce que serait une cyberguerre entre États. Et, de fait, les éventualités précédemment citées pourraient alors avoir lieu en même temps, ce qui provoquerait par la même occasion un terrible chaos.

« Un groupe d’experts lié à l’Otan a défini ce qu’est la cyberguerre : il faut que se produise un événement ayant un impact important dans le monde physique, comme le crash d’un avion. Nous n’y sommes pas encore », indiquait récemment au Figaro Gerome Billois, expert cybersécurité au sein du cabinet Wavestone. « Certains cas s’en approchent toutefois, comme l’attaque Stuxnet attribuée aux États-Unis et à Israël contre les installations nucléaires iraniennes en 2010. Les hackers se sont infiltrés dans les ordinateurs qui contrôlaient la vitesse de rotation d’une centrifugeuse d’uranium, l’ont fait aller plus vite, jusqu’à provoquer des pannes. »

Un avis pas forcément partagé par l’ensemble des spécialistes de la question. « Je peux me tromper, mais je pense que nous ne connaîtrons jamais de cyberguerre car les États ont conscience du fait que si un pays s’en prend à un autre, ce dernier répliquera et les conséquences seront également importantes des deux côtés », considère pour sa part Serge Kaspersky. « Cela crée une sorte de climat de guerre froide, à l’image de l’ère nucléaire. »

Sources

Publicités