Vrai rançongiciel ou virus visant simplement à détruire des données ? L’attaque mondiale provoquée le 27 juin par une variante du ransomware Petya a débouchée sur une demande de rançon, mais de nombreux analystes estiment que l’objectif premier des hackers était simplement de détruire les PC infectés. Quant à l’origine de l’attaque, elle est à chercher en Ukraine…
Le 27 juin 2017, une variante du rançongiciel Petya a infecté à une vitesse foudroyante des ordinateurs à travers toute la planète. Les principales victimes se trouvent en Ukraine, des acteurs des transports, des médias, des télécoms et du secteur public, comme le métro et l’aéroport de Kiev, la banque centrale ou l’opérateur national d’énergie ukrainiens.
D’abord l’Ukraine, puis le monde entier
Mais d’autres entreprises ont été touchées ailleurs, notamment en Europe, comme le géant français des matériaux Saint-Gobain, le producteur de pétrole russe Rosneft, la multinationale américaine de l’agroalimentaire Mondelez, l’agence publicitaire britannique WPP ou l’armateur danois Maersk.
L’ampleur de l’attaque rappelle celle de WanaCry, en mai dernier. Son origine a été identifiée : les hackers ont investi une société ukrainienne, Intellect Service, éditrice d’un logiciel de comptabilité, M.E.Doc, utilisé en Ukraine par quatre entreprises sur cinq.
Une mise à jour d’un logiciel de comptabilité comme porte d’accès
Se présentant comme une mise à jour, Petya a infesté de nombreux ordinateurs en Ukraine : la suite de l’attaque est désormais traditionnelle, les PC infectés analysaient le réseau pour toucher d’autres machines, en profitant d’une faille de sécurité de Windows. Les groupes internationaux touchés l’ont été par le biais de leurs filiales ukrainiennes.
La question numéro 1 aujourd’hui est de savoir qui a proféré cette attaque et quel était son objectif. Des demandes de rançon ont bien été envoyées, dont une de 100 bitcoins, soit 229 000 euros, mais sans aucune certitude qu’un paiement permette de récupérer les données.
A qui profite un crime qui ne rapporte pas d’argent ?
En effet, le logiciel malveillant responsable de l’attaque, s’il ressemble bien à un rançongiciel classique, n’a pas, contrairement à WannaCry par exemple, la possibilité de décoder lui-même les données qu’il a chiffré : « Pour parvenir à déchiffrer des disques, les cybercriminels ont besoin d’une clé d’activation. Dans les versions précédentes de ransomwares similaires, cette clé d’activation contenait les informations nécessaires à la récupération de la clé de déchiffrement. [Ce virus] n’en a pas (dans son code ndlr) », expliquent dans un communiqué des responsable de Kaspersky Lab, spécialiste de la cybersécurité.
En clair, là où WannaCry envoyait directement une demande de rançon, débouchant immédiatement sur le déchiffrement des données en cas de paiement, Petya ne peut pas, de lui-même, déchiffrer les disques infectés. Les hackers doivent agir sur l’ordinateur. De nombreux analystes en ont déduit que le but de l’attaque n’était pas de gagner de l’argent, mais bien de détruire les données de certains ordinateurs. Les demandes de rançon envoyées depuis ne seraient qu’un écran de fumée visant à masquer les intentions réelles des pirates.
Une politique de la terre brûlée
Cette thèse est renforcé par le fait que les hackers ont pratiqué une sorte de politique de la terre brûlée : pour propager Petya, « ils ont dévoilé à la fois leur porte dérobée dans le logiciel M.E.Doc et leur capacité à manipuler la configuration du serveur de mises à jour du logiciel » expliquent des responsable de Talos Intelligence, filiale du géant américain de l’informatique Cisco. En lançant cette attaque, ils ont ainsi donné aux spécialistes toutes les informations nécessaires à se protéger du virus, rendant quasi impossible une seconde attaque par cette version de Petya.
Cela tendrait à prouver que le but était bien de détruire des données sensibles, probablement en Ukraine, et que cet objectif a été déguisé en demande de rançon mondiale. Reste à savoir quelles entreprises étaient visées, par qui, et pour quelles raisons…