Cyberattaque WannaCry de mai 2017 : Renault paralysé plusieurs jours
Le vendredi 12 mai 2017 restera dans l'histoire de la cybersécurité comme l'un des épisodes les plus marquants. En quelques heures, le rançongiciel baptisé WannaCry a infecté près de 200 000 machines à travers plus de 150 pays, paralysant hôpitaux, administrations et grands groupes industriels. En France, le constructeur automobile Renault a figuré parmi les victimes les plus médiatisées, avec plusieurs sites de production stoppés. Retour sur un événement qui a changé la perception des risques numériques pour les entreprises comme pour les particuliers.
WannaCry : un rançongiciel d'une ampleur inédite
Le 12 mai 2017 au matin, une vague d'attaques informatiques sans précédent déferle sur la planète. Le programme malveillant, identifié rapidement sous le nom de WannaCry (parfois nommé WanaCrypt0r ou WCry), appartient à la famille des rançongiciels, ces logiciels conçus pour chiffrer les fichiers d'un ordinateur et exiger une rançon en échange de la clé de déchiffrement.
Concrètement, les victimes voyaient apparaître sur leur écran un message exigeant le versement d'environ 300 dollars en bitcoins. Passé un délai de quelques jours, la somme demandée doublait, puis les fichiers étaient menacés de destruction définitive. Le mode opératoire s'appuyait sur une faille de sécurité connue dans le système Windows, baptisée EternalBlue, qui avait été révélée quelques semaines plus tôt après le piratage d'outils appartenant à une agence de renseignement américaine.
Ce qui a rendu WannaCry particulièrement redoutable, c'est sa capacité à se propager seul, de machine en machine, à travers les réseaux internes des entreprises. Une fois un poste contaminé, le logiciel cherchait automatiquement à infecter tous les ordinateurs connectés au même réseau, sans aucune intervention humaine supplémentaire.
Des conséquences lourdes aux quatre coins du monde
Le bilan de l'attaque a rapidement pris des proportions considérables. Selon les estimations communiquées par les autorités et les éditeurs de solutions de sécurité, près de 200 000 ordinateurs répartis dans plus de 150 pays ont été touchés en moins de 48 heures.
Au Royaume-Uni, c'est le service public de santé (le National Health Service) qui a payé le tribut le plus visible. Des dizaines d'hôpitaux ont vu leurs systèmes informatiques bloqués : dossiers patients inaccessibles, rendez-vous annulés, opérations chirurgicales reportées, ambulances déroutées. La désorganisation a duré plusieurs jours et a contraint le personnel médical à revenir au papier et au crayon.
En Espagne, l'opérateur téléphonique Telefónica a été frappé. En Allemagne, la Deutsche Bahn a vu certains de ses panneaux d'affichage paralysés. La Russie, qui a concentré le plus grand nombre d'infections, a déclaré que son ministère de l'Intérieur figurait parmi les cibles. Aux États-Unis, des entreprises de logistique comme FedEx ont également été touchées. Le préjudice économique mondial a été estimé entre 4 et 8 milliards de dollars selon les sources.
En France, Renault contraint d'arrêter plusieurs usines
L'Hexagone n'a pas été épargné. Le cas le plus emblématique est celui du constructeur automobile Renault, dont plusieurs sites ont dû interrompre leur production pour éviter que l'infection ne se propage à l'ensemble du réseau industriel.
Concrètement, les usines de Douai (Nord), de Sandouville (Seine-Maritime) ainsi que des sites en Slovénie (Novo Mesto, géré par la filiale Revoz) et au Royaume-Uni ont été à l'arrêt durant le week-end du 13 et 14 mai 2017, puis partiellement le lundi suivant. Plusieurs milliers de salariés ont été renvoyés chez eux le temps que les équipes informatiques isolent les machines contaminées, restaurent les systèmes et appliquent les correctifs de sécurité.
Renault a confirmé l'attaque dans un communiqué officiel, expliquant avoir pris la décision de stopper la production à titre préventif, afin d'empêcher la propagation du rançongiciel sur les chaînes de montage automatisées. Aucun versement de rançon n'a été effectué, et la production a progressivement repris au cours de la semaine suivante. Cet épisode a néanmoins marqué les esprits : il a démontré qu'une cyberattaque pouvait avoir des conséquences physiques immédiates sur l'économie réelle, en arrêtant littéralement des chaînes industrielles.
Un informaticien britannique de 22 ans stoppe la propagation
L'épisode a aussi révélé un héros inattendu : un jeune chercheur britannique de 22 ans, connu sous le pseudonyme de MalwareTech (de son vrai nom Marcus Hutchins). En analysant le code de WannaCry, il a remarqué que le programme tentait de contacter un nom de domaine internet très inhabituel avant de poursuivre son action.
Par curiosité et pour observer le trafic, il a procédé à l'enregistrement de ce nom de domaine pour quelques dollars. Sans le savoir immédiatement, ce geste a activé un mécanisme involontaire d'arrêt qui était intégré dans le rançongiciel : confronté à un domaine désormais actif, WannaCry cessait de chiffrer les fichiers. La propagation s'est ainsi considérablement ralentie en quelques heures.
Cette histoire, largement relayée par la presse internationale, a illustré l'importance de la recherche indépendante en cybersécurité. Elle a aussi rappelé que les particuliers, comme les entreprises, devaient s'équiper de solutions de protection à jour, sauvegarder régulièrement leurs données et appliquer les correctifs de sécurité publiés par Microsoft, qui avait diffusé un patch dès le mois de mars 2017 — soit deux mois avant l'attaque.
Quelles leçons et quelle place pour l'assurance cyber ?
L'épisode WannaCry a accéléré la prise de conscience du risque numérique au sein des entreprises françaises et a alimenté la demande de garanties dédiées. Les contrats d'assurance cyber, jusqu'alors réservés aux grands groupes, se sont peu à peu démocratisés auprès des PME et des professions libérales : médecins, kinésithérapeutes, cabinets dentaires, pharmacies, qui manipulent des données de santé particulièrement sensibles.
Pour les particuliers, la question est différente mais bien réelle : usurpation d'identité, blocage de l'ordinateur familial, vol de coordonnées bancaires, fuite de données médicales. Certaines complémentaires santé et contrats d'assurance habitation proposent désormais des options de protection numérique, incluant une assistance en cas d'attaque et un accompagnement juridique.
EcoMutuelle vous met en relation, gratuitement pour les particuliers, avec un courtier partenaire inscrit à l'ORIAS. Ce professionnel pourra étudier vos besoins en matière de complémentaire santé et, le cas échéant, vous renseigner sur les contrats incluant des garanties d'assistance numérique adaptées à votre profil.
Questions fréquentes
Qu'est-ce qu'un rançongiciel comme WannaCry ?
Un rançongiciel (ou ransomware) est un logiciel malveillant qui chiffre les fichiers d'un ordinateur et exige une rançon, généralement en cryptomonnaie, pour fournir la clé de déchiffrement. WannaCry, apparu le 12 mai 2017, est particulier car il se propageait seul d'ordinateur à ordinateur à travers les réseaux, sans nécessiter d'action de l'utilisateur.
Quelles usines Renault ont été touchées par l'attaque ?
Plusieurs sites du groupe Renault ont été à l'arrêt préventif : l'usine de Douai (Nord), celle de Sandouville (Seine-Maritime), ainsi que le site de Novo Mesto en Slovénie (Revoz) et un site au Royaume-Uni. La production a été stoppée durant tout le week-end des 13 et 14 mai 2017, et partiellement le lundi suivant, le temps d'isoler les machines infectées.
Comment l'attaque WannaCry a-t-elle été stoppée ?
Un chercheur britannique de 22 ans, Marcus Hutchins (alias MalwareTech), a découvert dans le code du rançongiciel un appel à un nom de domaine internet inhabituel. En enregistrant ce domaine, il a involontairement activé un mécanisme d'arrêt intégré : confronté à un domaine actif, WannaCry cessait de chiffrer les fichiers, ce qui a fortement ralenti sa propagation.
Comment se protéger d'une cyberattaque de ce type ?
Quatre réflexes essentiels : maintenir son système d'exploitation à jour en appliquant les correctifs de sécurité dès leur publication, utiliser un antivirus et un pare-feu à jour, sauvegarder régulièrement ses données importantes sur un support externe déconnecté du réseau, et se méfier des pièces jointes ou des liens inconnus reçus par e-mail.
Une complémentaire santé peut-elle inclure une protection numérique ?
Certaines complémentaires santé proposent désormais des options d'assistance en cas de cyberattaque, en particulier pour la protection des données médicales personnelles. EcoMutuelle vous met en relation, gratuitement pour les particuliers, avec un courtier partenaire inscrit à l'ORIAS qui pourra analyser les garanties incluses ou disponibles dans votre contrat actuel ou futur.
Combien d'ordinateurs ont été infectés par WannaCry ?
Selon les estimations communiquées à l'époque par les autorités et les éditeurs de solutions de sécurité, près de 200 000 ordinateurs répartis dans plus de 150 pays ont été infectés en moins de 48 heures. Le coût économique mondial de l'attaque a été évalué entre 4 et 8 milliards de dollars selon les sources.