BLOG – Comment la dernière grande cyberattaque remet l'Ukraine sur le devant de la scène

Avec l’attaque cyber du ransomware notPetya, l’Ukraine est remise sur le devant de la scène internationale. En effet, cette cyber attaque d’une ampleur impressionnante qualifiée d’un « niveau sans précédent » par le secrétaire d’État français au numérique Mounir Mahjoubi, a d’abord été détecté en Ukraine. C’est avec un tweet de Pavlo Rozenko, Vice-Premier Ministre, qu’elle a été mise en lumière. Mr Rozenko tweetait la photo d’un écran d’ordinateur indiquant que celui-ci reformatait son disque dur. Pour Kaspersky, le développement de l’attaque du 27 juin est comparable à celui d’un autre ransomware bien connu dans ces premières heures: Wannacry (aussi appelé Wannacrypt). Ce ransomware avait frappé en mai 2017 avec le même objet: crypter des données et ne donner aux victimes les éléments permettant de les décoder que contre une rançon payée en bitcoins, la monnaie dématérialisée. On estime que 60% des ordinateurs infectés par l’attaque d’aujourd’hui seraient en Ukraine, contre 30% en Russie, laissant 10% au reste du monde.

Techniquement, l’attaque connue actuellement serait une variante de Petya, un logiciel de rançon de la même famille que Mischa, et Golden Eye. Il infecte les ordinateurs et les systèmes probablement en utilisant une méthode de phising pour obtenir l’accès aux machines. Le plus souvent, un mail envoyé avec un document joint ou un lien qui, une fois ouvert, permet au worm de se répandre jusque dans le disque dur et de crypter les données, ne laissant plus apparaître qu’un écran rouge avec une tête-de-mort réclamant 0,99 Bitcoin soit environ 366 € pour obtenir la clé de déchiffrement des données.

Pour se répandre, il semblerait que Petya utilise Eternalblue, un exploit mis au point par la NSA, volé puis divulgué par le groupe de hackers Shadow Brokers. Cet exploit avait déjà servi pour le déploiement de Wannacry. NotPetya, comme son prédécesseur, utilise une faille de Windows qui avait été découverte, notamment par FireEye, en avril 2017. Cette vulnérabilité avait d’ailleurs été prise en compte via des updates mis en ligne par Windows. Ainsi ce sont les ordinateurs n’ayant pas fait les mises à jour de sécurité qui sont vulnérables. Il semble donc que la menace Wannacry n’ait pas été suffisamment prise au sérieux, n’incitant pas assez les entreprises à faire les mises à jour permettant de se protéger de ce risque qu’elles payent aujourd’hui le prix fort.

Les entreprises victimes de ce racket devaient une fois le paiement effectué, envoyer la preuve du règlement à une adresse email précise avec un mot de passe spécifique, or le fournisseur d’accès de cette adresse, Posteo, a fermé l’accès de cette dernière. En conclusion, si une entreprise décidait à présent de se soumettre au chantage elle ne pourrait pas récupérer les données atteintes par l’attaque. Reste à espérer que si les victimes n’avaient pas de sauvegardes faites par exemple dans des datarooms virtuelles, des outils apparaîtront pour permettre de retrouver les données comme cela avait été le cas pour Wannacry avec Wannakiwi et Wannakey.

Concernant l’attribution de l’attaque, il sera très difficile d’être définitif, car l’assignation des cyber attaques est toujours complexe et risqué. En outre, dans ce cas précis, les ransomeware Petya et Wannacry étaient en vente sur le darkweb, démultipliant d’autant les potentiels utilisateurs. Cependant, les regards se tournent vers le groupe de hackers Lazarus, soupçonnés de liens avec la Corée du Nord, notamment car ils étaient précédemment impliqués dans la diffusion de Wannacry. Une chose est certaine, la diffusion est colossale est comparable à celle de wannacry qui avait atteint quelques 200.000 victimes au travers 150 pays au 15 mai 2017 selon Europol, mais sans pour autant atteindre des montants colossaux. En effet il semblerait que les trois portefeuilles bitcoins utilisés n’auraient été crédités que de 23 bitcoins, soit un peu plus de 36.000 € avec un nombre de transactions faible alors que l’on parlait alors de la plus grosse attaque par ransome connu jusqu’alors. Si des gênes importantes avaient été enregistrées engendrant des coûts pour les entreprises victimes, le plus gros impact aura tout de même été médiatique. La question étant maintenant de savoir quel sera le poids de NotPetya.

En conclusion, outre la gêne immédiate rencontrée par nombre d’usagers ne pouvant pas, par exemple, retirer de l’argent des distributeurs automatiques en Ukraine, NotPetya pose d’autres problèmes.

Parmi ceux-ci, citons la prise de conscience du risque par les entreprises. En effet, il ne s’agit pas là d’une attaque utilisant une « vulnérabilité 0day » puisque Windows avait réparé la faille en mars 2017. Ainsi c’est donc de la prudence et des usages des entreprises victimes qu’il s’agit. Au-delà, notons que le maillon faible, la zone permettant l’attaque reste probablement le facteur humain, qui par manque de méfiance aura cliqué sur le lien ou la pièce jointe infectée envoyée par un inconnu. Ensuite, l’attaque ayant été rendue possible par l’exploit créé par une agence gouvernementale, la NSA, cela pose le problème des conséquences de la conservation secrètes de vulnérabilités connues par les gouvernements. Dernier point, reste à savoir si ces données cryptées et prises en otage ne pourront pas faire l’objet d’une lecture sélective, puis d’une divulgation ou d’une revente sur le dark web. Ce piratage non affiché, mais néanmoins possible pourrait avoir des conséquences financières, par exemple quand on pense à la divulgation de stratégies commerciales, mais pourrait également avoir des conséquences géopolitiques si cela touchait des sujets stratégiques. Rappelons que l’un des premiers pays touchés est l’Ukraine qui connaît une guerre cinétique dans l’Est de son territoire, mais aussi une cyber guerre informationnelle de grande ampleur depuis 2014. Or, malgré les Accords de Minsk I et II signés avec les séparatistes du Donbass en présence de la France, de l’Allemagne et de la Russie les cessez-le-feu se suivent sans succès. Or, dans tout conflit, l’information est la connaissance sont primordiale, pouvant même ne plus avoir de prix. Ainsi, une vague massive comme celle que nous connaissons pourrait permettre la captation d’information rendue discrète dans la cacophonie générée par l’ampleur de l’attaque du ransomware.

À voir également sur Le HuffPost: