Marseille et sa Métropole affectées depuis un mois par une cyberattaque

Victimes d'une attaque informatique généralisée la veille du premier tour des élections municipales, la ville de Marseille et sa Métropole demeurent un mois plus tard encore largement affectées pendant cette période de confinement où le télétravail est de rigueur.

"Inédite par son ampleur", la cyberattaque qui s'est produite dans la nuit du 13 au 14 mars avait été qualifiée de "massive et généralisée" par la deuxième ville de France et par la Métropole Aix-Marseille-Provence, une collectivité qui regroupe 92 communes dans le Sud-Est.

"Nos serveurs ont été cryptés à hauteur de 90% contre une demande de rançon", a indiqué la Métropole qui, vendredi, tablait sur un retour à la normale autour du 20 mai, expliquant devoir "reconstruire un système complet".

"Ce sont l'ensemble des services numériques de la Métropole qui ont été touchés à différents degrés de gravité, dont notamment les systèmes d'information et de gestion des ressources humaines, de la paye, des finances", a expliqué à l'AFP cette collectivité.

"Les outils d'exploitation opérationnels des services mais aussi une partie de la téléphonie, les sites internet et les services aux usagers", sont aussi touchés, a-t-elle ajouté.

Pour pouvoir fonctionner en télétravail, les agents ont été encouragés à utiliser un accès internet via un réseau Wifi personnel, les accès internet de la Métropole ayant été coupés.

Des systèmes de travail de visioconférence ont été déployés en quelques jours pour permettre au plus grand nombre d'agents de maintenir leurs activités essentielles, précise Aix-Marseille-Provence qui emploie quelque 8.000 agents.

La mairie de Marseille, qui ne communique pas sur l'ampleur de cette cyberattaque ni sur ses conséquences, souligne néanmoins que l'outil informatique pour le paiement des factures et le traitement des marchés publics a été restauré. De même, le numéro de téléphone d'"Allô mairie" qui permet aux Marseillais de contacter ses services a été rétabli.

L'enregistrement des déclarations relevant de l'état civil, comme les décès, nombreux en cette période de pandémie, s'effectue en revanche manuellement.

"Les services municipaux travaillent sans relâche pour un retour à la normale", indique la ville sans donner de date.

La ville de Martigues (49.500 habitants) qui avait également été touchée par cette cyberattaque indique de son côté avoir résolu ses problèmes il y a une dizaine de jours.

L’Agence nationale de la sécurité des systèmes d’information (Anssi), sollicitée pour apporter son expertise technique, avait indiqué deux jours après la cyberattaque que quelque 300 machines avaient été rendues inopérantes sur l'ensemble des trois collectivités.

Le "rançongiciel (ransomware)" utilisé contre ces trois collectivités s'appelle Mespinoza/Pysa, a précisé l'Anssi. Les "rançongiciels" sont des logiciels malveillants qui empêchent les utilisateurs d'accéder à leurs fichiers via leur ordinateur ou leur terminal mobile, par exemple en les chiffrant dans le but d'obtenir une rançon.

Des plaintes ont été déposées et l'enquête a été confiée à la sous-direction de la lutte contre la cybercriminalité de la police nationale.

"Les rançongiciels sont devenus une énorme menace en cybersécurité au cours des dernières années", souligne la plateforme "No more ransom!" montée par Europol, la police néerlandaise et des société de cybersécurité pour aider les utilisateurs à lutter contre ces attaques.

"Il n’existe pas d’outil de déchiffrement pour le ransomware Mespinoza/Pysa. En cas d’infection, la solution est donc de réinstaller le système et de restaurer toutes les données à l’aide d’une sauvegarde, s’il y en avait une", a expliqué à l'AFP Gauthier Vathaire, expert auprès de la société cybersécurité Bitdefender.

"Si on paie la rançon pour récupérer les fichiers chiffrés, on finance les hackers et on participe à la prolifération de ce type d’attaque", ajoute-t-il.