lolloj - Fotolia
Locky, des alertes lancées trop tard en France ?
Kaspersky a laissé passer près d’une semaine entre l’information du marché allemand et celle du marché français, pourtant les deux plus affectés par ce nouveau rançongiciel.
Locky, c’est un nouveau ransomware qui a la particularité de se propager en copiant Dridex, via de prétendues factures jointes à des e-mails de soi-disant relances venant de prestataires inconnus – ou très connus, comme Free Mobile dans le cas de Locky.
Palo Alto Networks a lancé l’alerte le 16 février dernier, évoquant déjà au moins 400 000 machines potentiellement compromises, Heimdal Security a pris le relais le 18 février. De son côté, le CERT-FR a tiré la sonnette d’alarme le 19 février, évoquant « à l’échelle nationale, une vague de pourriels dont le taux de blocage par les passerelles anti-pourriel est relativement faible. Ces pourriels ont pour objectif la diffusion du rançongiciel Locky ».
Cette alerte, le CERT-FR l’a depuis régulièrement mis à jour pour apporter de nouvelles informations. Mais il aura fallu attendre le vendredi 4 mars pour que le ministère de l’Intérieur se décide à avertir les citoyens, sur son site Web. Sur Twitter, l’alerte a attendu un peu plus : le dimanche 6 mars.
Opportunisme ou attente prudente, l’alerte du ministère de l’Intérieur est survenue le lendemain de celle lancée par Kaspersky, largement médiatisée le jour même de sa parution : l’éditeur affirmait, le 3 mars, avoir recensé 60 variantes de Locky, les internautes français et allemands étant « les plus exposés à ce risque ». Mais les seconds, outre-Rhin, ont été bien mieux lotis. De fait, Kaspersky les a prévenus dès le 26 février.
Sollicité par la rédaction, l’éditeur fait état de ce qui ressemble à manque de communication en son sein, à l’échelle européenne : un porte-parole explique en effet que ce n’est qu’après diffusion de l’information par Kaspersky Allemagne que sa branche française a témoigné son intérêt pour l’annonce. Le délai est expliqué par le temps passé à échanger entre les deux rives du Rhin, à traduire l’annonce et la relire, avant de la diffuser à la presse.
Depuis, Palo Alto Networks a mis la main sur un autre rançongiciel, KeRanger, qui vise les utilisateurs de Mac et contourne les protections natives du système d’exploitation en s’invitant au sein d’un logiciel légitime et signé. Attention : encore en développement, ce rançongiciel semble chercher à chiffrer les sauvegardes Time Machine pour mieux forcer ses victimes à payer la rançon de 1 bitcoin réclamée.
Alertés par l’équipementier, Apple a révoqué le certificat utilisé pour signer le logiciel légitime compromis Transmission, et l’éditeur de ce dernier a nettoyé son site Web pour proposer une nouvelle version, saine, de son client BitTorrent.