* 200.000 victimes dans 150 pays, escalade de la menace
-Europol
* Entreprises/institutions s'efforcent de protéger leurs
systèmes
* De nouvelles attaques au "rançongiciel" prévisibles
* En Asie notamment, l'étendue des dégâts reste incertain
* Des hôpitaux, l'automobile, les télécoms parmi les cibles
par Jeremy Wagstaff et Jim Finkle
SINGAPOUR/TORONTO, 14 mai (Reuters) - Les équipes techniques
des entreprises s'efforçaient dimanche de mettre à niveau leurs
systèmes d'exploitation et de réparer les réseaux informatiques
infectés dans la crainte que des attaques viennent à nouveau
semer le chaos lundi à la reprise du travail.
Les experts en cybersécurité ont fait savoir que la
prolifération du virus appelé WannaCry - un "rançongiciel" - qui
a bloqué plus de 200.000 ordinateurs dans le monde - s'était
calmée mais que ce répit pourrait être de courte durée.
De nouvelles versions du virus sont prévisibles, disent-ils,
et l'étendue des dégâts provoqués par l'attaque tous azimuts
conduite vendredi reste à évaluer.
Les ordinateurs infectés semblent être avant tout des
appareils jugés trop obsolètes pour être mis à jour ou encore
des machines engagées dans des opérations hospitalières ou
manufacturières qu'il aurait été trop difficile de corriger sans
perturber des activités essentielles, ont précisé les experts.
Selon Marin Ivezic, expert en cybersécurité chez PwC,
certains clients ont "travaillé jour et nuit depuis l'annonce de
l'attaque" afin de nettoyer leurs systèmes d'exploitation et
d'installer des logiciels actualisés ou des corrections, ou
encore de réparer leurs systèmes à partir de sauvegardes.
Microsoft a réactivé le mois dernier et vendredi une mise à
jour permettant de réparer une faille qui a permis au virus de
se disséminer dans les réseaux et de proliférer vendredi.
Le code d'exploitation du virus connu sous le nom d'"Eternal
Blue" a été diffusé sur le réseau internet en mars par un groupe
se faisant appeler The Shadow Brokers. Le groupe affirme l'avoir
volé à la NSA, l'agence américaine de la sécurité nationale.
La NSA n'a pas répondu aux demandes de commentaires.
Le virus baptisé WannaCry, et connu aussi sous les noms de
WannaDecryptor, WanaCrypt0r 2.0 et WCry?, s'exécute par le biais
d'un logiciel malveillant installé à l'insu de l'utilisateur. Il
crypte les données de ce dernier et exige des sommes d'argent,
généralement entre 300 et 600 dollars, payables en bitcoin s,
pour les rendre à nouveau lisibles ou débloquer certaines
fonctionnalités de l'ordinateur infecté.
Marin Ivezic, l'expert basé à Hong Kong, a précisé que le
"rançongiciel" obligeait certains clients plus "matures" touchés
par le virus à abandonner leurs pratiques prudentes de test des
corrections "pour procéder à des arrêts non planifiés et des
nettoyages d'urgence, ce qui présente certains inconvénients."
Il a refusé de citer les clients concernés.
JOURNÉE NOIRE LUNDI ?
Le directeur d'Europol, l'organisme européen de coopération
policière, Rob Wainwright, a déclaré dimanche que l'attaque de
vendredi avait fait 200.000 victimes dans au moins 150 pays et
que ce nombre augmenterait avec le retour au travail lundi.
"L'ampleur de l'attaque est sans précédent. Les derniers
chiffres s'élèvent à 200.000 victimes dans au moins 150 pays
(...) des entreprises pour beaucoup d'entre elles", a-t-il dit.
"A l'heure actuelle, nous devons affronter une escalade de
la menace. Les chiffres augmentent, je suis préoccupé devant le
risque de les voir encore augmenter, lundi, lorsque les gens
retourneront au travail."
Lundi pourrait bien être une journée noire, surtout dans les
pays d'Asie qui n'ont peut-être pas subi le plus fort de la
vague de cyberattaques, avec la remise en route des ordinateurs.
"Attendez-vous à entendre encore beaucoup parler de cela
demain matin lorsque les utilisateurs vont revenir à leurs
bureaux et pourraient tomber sur des courriels d'hameçonnage, ou
sur d'autres moyens de propager le virus", a dit Christian
Karam, un chercheur en sécurité informatique basé à Singapour.
Les attaques ont touché des entités de toutes tailles.
Renault a suspendu samedi par précaution la production de
plusieurs de ses sites en France et à l'étranger, pour empêcher
la propagation du virus détecté vendredi en fin de journée dans
son système informatique. Le groupe a fait savoir dimanche que
la quasi-totalité de ses usines touchées par les attaques
devraient pouvoir reprendre leur activité lundi.
La filiale roumaine de Renault, Dacia, a également été
visée, de même que l'usine britannique de Sunderland de son
partenaire japonais Nissan 7201.T .
A Paris, une porte-parole de l'Agence nationale de sécurité
des systèmes d'information (ANSSI), a indiqué que, à sa
connaissance, "il n'y a pas d'autre victime en France que
Renault pour l'instant".
En Allemagne, l'opérateur ferroviaire Deutsche Bahn DBN.UL
a de son côté dit constater des anomalies sur les panneaux des
arrivées et des départs.
En Espagne, l'opérateur télécoms Telefonica TEF.MC a
figuré parmi les victimes, et Portugal Telecom et Telefonica
Argentine ont tous deux annoncé avoir été visés.
Un hôpital de Jakarta a annoncé dimanche qu'un virus avait
infecté 400 de ses ordinateurs, ce qui perturbait
l'enregistrement de ses patients et la recherche de documents.
Les pirates informatiques auraient d'ores et déjà reçu
32.500 dollars (457 euros) en bitcoins à 11h00 GMT dimanche,
mais la facture pourrait grimper avant l'échéance fixé à lundi.
(Juliette Rouillon pour le service français, édité par Pierre
Sérisier)