La société informatique américaine Kaseya, victime d’une cyberattaque au rançongiciel qui pourrait avoir affecté jusqu’à 1 500 entreprises dans le monde, tentait mardi de redémarrer ses serveurs pour permettre à ses milliers de clients d’accéder «au plus vite» à leurs services en ligne. Kaseya, qui envisageait initialement de remettre en route ses machines lundi, a encore retardé mardi le moment où elle pense pouvoir le faire en toute sécurité.

Dans un nouveau communiqué à 23h30 GMT (1h30 en Suisse), l’entreprise souligne qu’elle fait de son mieux pour réduire le délai de remise en service.

L’entreprise, qui fournit des services informatiques à quelque 40 000 sociétés dans 20 pays dans le monde, assure que l’assaut dont elle a été victime vendredi a touché moins 60 clients directs. En ajoutant les victimes indirectes, à savoir les clients de ses clients, «nous pensons que moins de 1 500 entreprises au total ont été touchées», a affirmé Kaseya sur son site internet tard lundi soir.

Lire aussi: Comment des pirates ont paralysé en quelques heures des centaines d’entreprises dans le monde

L’attaque a touché les utilisateurs du logiciel VSA de l’entreprise destiné à gérer à distance des réseaux de serveurs, ordinateurs et imprimantes.

Un correctif dans les 24 heures

Selon son dernier message vers 16h GMT (18h en Suisse) mardi, l’entreprise prévoit de remettre en route ses serveurs pour les clients utilisant son logiciel à distance entre 20h et 23h GMT. Elle diffusera ensuite «dans les 24 heures» un correctif pour les clients utilisant son logiciel directement sur leurs appareils.

La chaîne de supermarchés suédoise Coop figure parmi les victimes indirectes de l’attaque, ses caisses ayant été paralysées lorsque son sous-traitant informatique, Visma Esscom, a été touché. Mardi matin, la majorité des quelque 800 magasins Coop étaient toujours fermés.

Les attaques par rançongiciel, quand un pirate crypte les données d’une entreprise et demande une rançon pour les débloquer, sont devenues fréquentes. Les Etats-Unis ont été particulièrement frappés ces derniers mois par des assauts touchant de grandes entreprises comme le géant de la viande JBS ou le gestionnaire d’oléoducs Colonial Pipeline, mais aussi des collectivités locales et des hôpitaux.

Une rançon de 70 millions de dollars

Selon de nombreux experts, les pirates à l’origine de cyberattaques par rançongiciel sont souvent installés en Russie et celle contre Kaseya a été menée par un affilié au groupe de hackers russophones connu sous le nom de REvil.

La porte-parole de la Maison Blanche, Jen Psaki, a indiqué mardi que suite à un entretien entre les présidents Joe Biden et Vladimir Poutine mi-juin sur le sujet, des discussions entre des experts de haut niveau des deux pays se sont engagées. Il est prévu dans ce cadre une nouvelle réunion la semaine prochaine «qui sera dédiée aux attaques par rançongiciel», a-t-elle ajouté.

Lire également: Du Texas à Genève, les «ransomwares» frappent. Et surtout, les victimes payent les rançons

Dans cette affaire, «les services du renseignement n’ont pas encore attribué l’attaque», a-t-elle souligné. Mais «les experts de cybersécurité s’accordent sur le fait que REvil opère depuis la Russie avec des affiliés partout dans le monde», a relevé Jen Psaki.

Une revendication publiée dimanche sur le blog du darknet «Happy Blog», associé dans le passé à REvil, réclame le paiement d’une rançon de 70 millions de dollars en bitcoins pour rendre publique la clef de déchiffrement. Les hackers y affirment avoir atteint «un million d’appareils et de réseaux».

«Un dernier coup d’éclat»

Jacques de la Rivière, directeur général de la firme de cybersécurité française Gatewatcher, s’interroge sur le fait que REvil ait demandé une rançon unique. «Les victimes ne vont jamais se cotiser pour avoir la clef de chiffrement» et les pirates «n’auront jamais aucune rémunération» pour cette attaque.

Lire encore: DarkSide, la PME du «ransomware» qui soigne son image

Pour lui, les auteurs de l’attaque ont peut-être agi «dans la précipitation», pour ne pas être doublés par d’autres pirates également au courant de la faille. «Comme il y a de plus en plus d’acteurs» qui cherchent à mener des attaques par rançongiciels, vu la rentabilité de ces opérations, «les types font n’importe quoi pour être les premiers à exploiter une faille», analyse-t-il.

«Notre hypothèse c’est que REvil va disparaître, et que c’est en fait son dernier coup d’éclat, qu’il touche de l’argent ou pas» du fait de l’attaque, indique aussi Robinson Delaugerre, qui dirige les équipes de cyber-pompiers d’Orange Cyberdéfense. Selon lui, les hackers pourraient ainsi effacer toutes leurs traces numériques, prendre quelques semaines de vacances, et repartir sous un autre nom.