Épidémie de rançongiciel WannaCry chez Telefónica

Le 12 mai 2017, le ver rançongiciel mondial WannaCry a déferlé sur plus de 150 pays — et l'une de ses victimes corporate les plus visibles a été Telefónica, premier opérateur de télécommunications d'Espagne. L'angle espagnol est devenu une image emblématique de l'épidémie : des employés quittant en masse le siège madrilène de Telefónica après avoir reçu l'ordre d'éteindre leurs machines.

Ce qui s'est passé

WannaCry se propageait via EternalBlue, un exploit de la NSA divulgué visant CVE-2017-0144, une faille du protocole de partage de fichiers obsolète SMBv1. Microsoft avait corrigé la vulnérabilité deux mois plus tôt dans le bulletin MS17-010, mais d'innombrables machines d'entreprise — dont beaucoup du parc Windows interne de Telefónica — restaient non corrigées.

En milieu de matinée, le ver a commencé à chiffrer les postes de travail du réseau interne de Telefónica. Des alertes internes, comprenant selon les rapports des annonces au haut-parleur au siège madrilène, ont enjoint aux employés d'éteindre leurs ordinateurs et de se déconnecter du Wi-Fi interne pour stopper le logiciel malveillant auto-propagateur. Les partenaires externes connectés par VPN ont également reçu l'ordre de se déconnecter. Les écrans infectés affichaient la note de rançon caractéristique de WannaCry, exigeant environ 300 dollars en Bitcoin par machine.

Conséquences

Une large part des postes de travail internes des sites touchés a été mise hors ligne par mesure de confinement ; les employés du siège madrilène ont été renvoyés chez eux.
Élément crucial, Telefónica a déclaré que ses services destinés aux clients — téléphonie fixe et mobile et connectivité internet — n'étaient pas affectés. Les dégâts se sont limités à l'environnement informatique interne de l'entreprise.
L'incident a déclenché une réponse d'urgence impliquant le CCN-CERT et l'INCIBE espagnols, et a fait de Telefónica un point focal de la couverture nationale et internationale de l'épidémie.

Attribution

WannaCry a été ensuite attribué par les États-Unis, le Royaume-Uni et d'autres au Lazarus Group, une unité de piratage liée à la Corée du Nord (DPRK). La propagation mondiale du ver a été stoppée en quelques heures lorsque le chercheur Marcus Hutchins a enregistré un domaine kill-switch codé en dur dans le logiciel malveillant, limitant le chiffrement ultérieur.

Pourquoi c'est important

L'expérience de Telefónica a cristallisé une dure leçon sur la gestion des correctifs à grande échelle : un correctif existait depuis deux mois, et pourtant une seule vulnérabilité non corrigée et propageable a suffi à paralyser le réseau interne d'un grand opérateur télécom. L'épisode a accéléré le retrait de SMBv1 dans les entreprises du monde entier et est régulièrement cité — aux côtés de la perturbation du NHS britannique le même jour — comme le moment où le rançongiciel est devenu une préoccupation de niveau direction et de sécurité nationale en Europe.

Chronologie

14 mars 2017

Microsoft publie le bulletin de sécurité MS17-010, corrigeant la vulnérabilité SMBv1 (CVE-2017-0144) que WannaCry exploitera ensuite via l'exploit EternalBlue.

12 mai 2017

Le ver WannaCry se propage dans le monde entier ; en milieu de matinée, il commence à chiffrer les machines du réseau interne de Telefónica en Espagne.

12 mai 2017

Telefónica ordonne aux employés de son siège madrilène d'éteindre leurs PC et de se déconnecter du Wi-Fi interne ; des annonces au haut-parleur renforcent la consigne.

12 mai 2017

Une demande d'environ 300 dollars en Bitcoin par machine apparaît sur les écrans infectés. Telefónica indique que les services de téléphonie et d'internet pour les clients ne sont pas affectés.

15 mai 2017

Le CCN-CERT et l'INCIBE espagnols publient des recommandations ; Telefónica rétablit ses opérations et contribue à coordonner la réponse nationale.

Sources

bleepingcomputer.comhttps://www.bleepingcomputer.com/news/security/telefonica-tells-employees-to-shut-down-computers-amid-massive-ransomware-outbreak/

incibe.eshttps://www.incibe.es/en/incibe-cert/publications/cybersecurity-highlights/telefonica-affected-ransomware

tripwire.comhttps://www.tripwire.com/state-of-security/wannacryptor-ransomware-strikes-nhs-hospitals-telefonica-and-others

fortune.comhttps://fortune.com/2017/05/12/ransomware-attack-targeting-microsoft-windows-hits-spanish-telco-giant-telefonica/

Incidents liés

Fuite de donnéesContenu9 janvier 2025

Compromission Hellcat de Telefónica via voleur d'informations et Jira (Espagne, 2025)

Un logiciel malveillant voleur d'informations sur les postes de plus de 15 employés de Telefónica a fourni au groupe de rançongiciel Hellcat des identifiants pour accéder au système interne de tickets Jira de l'entreprise. L'ingénierie sociale a permis d'élever l'accès jusqu'au SSH. Le groupe n'a pas extorqué — il a publié 2,3 Go, dont 24 000 courriels d'employés, 470 000 tickets Jira internes et 5 000 documents internes.

Victim: Telefónica
Records: 500.0K

RançongicielContenu12 mai 2017

Ver rançongiciel WannaCry

Un ver rançongiciel nord-coréen qui a exploité la vulnérabilité SMB EternalBlue pour se propager à environ 200 000 systèmes dans 150 pays en 24 heures. Il a paralysé le NHS britannique et mis à genoux l'industrie manufacturière à l'échelle mondiale.

Victim: ~200 000 organisations dans le monde (NHS britannique, Telefónica, Renault, Deutsche Bahn, Honda et autres)
Loss: $6.00B

RançongicielRésolu8 avril 2021

Rançongiciel chez Phone House Espagne

Le gang Babuk a compromis le distributeur de mobiles espagnol The Phone House et divulgué environ 100 Go de données clients — noms, numéros d'identité, coordonnées bancaires et de contact concernant jusqu'à 3 millions de personnes — après le refus de l'entreprise de payer.

Victim: The Phone House España
Loss: $7.0M
Records: 3.0M

RançongicielEn cours30 mars 2026

Iliad (Free) : nouvelle cyberattaque avec des données réseau en fuite

Le 30 mars 2026, le groupe d'extorsion ALP-001 a affiché le groupe télécom français Iliad (maison mère de Free) sur son site de fuite, publiant un échantillon de 5,4 Go de données d'ingénierie réseau mobile — mesures radio, tests GPS et données d'optimisation — et menaçant d'une divulgation plus large.

Victim: Iliad (Free)