Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
International
©Reuters

Attaque informatique

Nouvelle vague d’attaque au ransomware « NotPetya » : qui est vraiment responsable ?

Après la déferlante « WannaCry » il y a quelques semaines, qui avait déjà durement impacté plus de 150 pays à travers le monde, une nouvelle cyberattaque d’envergure mondiale au rançongiciel se déploie actuellement à l’échelle planétaire.

Franck DeCloquement

Franck DeCloquement

Membre fondateur du Cercle K2 et ancien de l’école de Guerre Économique de Paris (EGE), il est en outre professeur à l'IRIS (Institut de Relations internationales et stratégiques) en "Géoéconomie et intelligence stratégique". Il enseigne également la "Géopolitique des médias" en Master 2 recherche "Médias et Mondialisation", à l'IFP (Institut français de presse) de l'université de Paris II Panthéon-Assas. Franck DeCloquement est aussi spécialiste sur les menaces Cyber-émergentes liées aux actions d'espionnage économique et les déstabilisations de nature informationnelle et humaine. Il est en outre intervenu pour la SCIA (Swiss Competitive Intelligence Association) à Genève, aux assises de la FNCDS (Fédération Nationale des Cadres Dirigeants et Supérieurs), à la FER (Fédération des Entreprises Romandes à Genève) à l’occasion de débats organisés par le CLUSIS - l'association d’experts helvétiques dédiée à la sécurité de l'information - autour des réalités des actions de contre-ingérence économiques et des menaces dans la sphère digitale.

Voir la bio »

Le « rançongiciel » (contraction des deux mots « rançon » et « logiciel »), ou « ransomware » en anglais, est parti d'Ukraine, ce mardi 27 juin, et s'est très rapidement diffusée - tel un feu de paille - dans l'Europe entière. Mais aussi aux Etats-Unis, au Danemark, en France, en Grande-Bretagne, en Norvège et aux Pays-Bas, et par effet rebond, dans le reste du monde…

Le mode opératoire de la contamination de ce nouveau virus baptisé « NotPetya », « Petrwrap » ou « ExPetr » est très similaire à celui précédemment identifié pour Wannacry : le virus s'est très classiquement engouffré dans une faille informatique du système d'exploitation Windows de Microsoft, précédemment révélée par les services spécialisés de la célèbre agence américaine en charge la sécurité nationale : la NSA. Cette faille d'exploitation, dite aussi « Eternal Blue », est présente dans tous les systèmes Microsoft. Selon Microsoft justement, la vague d’attaques « utilise plusieurs techniques pour se propager ». La puissance de cette méthode d'infection est telle qu'elle aurait les capacités d'engendrer des dommages d'une « ampleur inégalée auparavant ». Dès lors, elle est en capacité de paralyser tous les systèmes informatiques non protégés en chiffrant les données. Les rendant parfaitement inaccessibles au propriétaire des dites données. Pour les « débloquer », le ransomware exige le paiement d’une rançon de 300 dollars, payable en Bitcoin, cette monnaie virtuelle très difficilement à traçable par les autorités... Après avoir réglé la somme demandée, les victimes sont censées recevoir un code « remède » permettant de déchiffrer leurs données cryptées… Ce qui s’avère totalement faux dans la plupart des cas. Les premiers retours d’expérience montrent que le ransomware « NotPetya » écraserait le « master boot record », ou « MBR ». Autrement dit, le premier secteur adressable d'un disque dur. Et ceci, comme le faisait précédemment le rançongiciel Wannacry qui utilisait plusieurs moyens pour se déployer à travers un réseau informatique, via les outils d'administration de Windows notamment. Ce nouveau rançongiciel touche une fois de plus les ordinateurs qui n'ont pas effectué les mises à jour recommandées de Windows, et sont donc vulnérables à la faille de sécurité utilisée par cette nouvelle infection numérique.

À l’heure où nous rédigeons ces lignes, 30.000 serveurs seraient d’ores et déjà touchés en France, et plus de 2 millions d’autres le seraient également dans le reste du monde, d'après les premières estimations des experts en sécurité informatique. En outre, les installations de contrôle des radiations de la centrale nucléaire de Tchernobyl. Mais ces chiffres sont bien entendu sujet à caution pour l’heure. Pour Mounir Mahjoubi, le nouveau secrétaire d'Etat au numérique nommé par Emmanuel Macron : « le niveau de cette cyberattaque est sans précédent ». D'après plusieurs experts d’entreprises œuvrant dans le domaine de la protection des infrastructures numériques, le danger vient aussi du fait que la mise à jour Windows recommandée par Microsoft peut ne pas s'avérer suffisante en l’état… Dès lors,  si un utilisateur « clic » malencontreusement sur un lien infecté par le virus « NotPetya », le logiciel malveillant infiltrera irrémédiablement les réseaux. Il lui est alors aisé d’infecter - de proche en proche - les infrastructures et tous les ordinateurs non contaminés se trouvant à proximité. La contagion est alors fulgurante…

Des cibles importantes d’ores et déjà touchées en Europe, et partout dans le monde.

Moins de 24 heures après le déclenchement des premières actions malveillantes dues au virus « NotPetya », l’impact de cette nouvelle cyberattaque est déjà particulièrement impressionnant. Les déclarations de l'éditeur de solutions de cybersécurité Kasperky sont assez édifiantes à ce propos : l'Ukraine serait le pays le plus touché devant la Russie. Et dans une moindre mesure,  l'Italie et la Pologne. En Russie et en Ukraine, le ransomware « NotPetya » aurait impacté des dizaines de cibles aussi variées le fabricant de confiseries « Mars », des banques, des infrastructures gouvernementales ukrainiennes, ainsi que les terminaux de paiement de onze supermarchés ukrainiens du groupe de grande distribution Auchan, implantés dans cinq villes du pays.

Plus préoccupant encore, le système de surveillance des radiations de la centrale nucléaire ukrainienne de Tchernobyl a été lui aussi été infecté par le virus baptisé « Petrwrap », « ExPetr » ou « NotPetya », dérivé de Wannacry. Obligeant ainsi tous les personnels spécialisés à revenir à des mesures manuelles de contrôle de la radioactivité… Olena Kovaltchouk, la porte-parole de l'agence gouvernementale de gestion de la zone d'exclusion de Tchernobyl a d’ailleurs déclaré à ce propos : « nos techniciens mesurent la radioactivité avec des compteurs Geiger sur le site de la centrale, comme on le faisait il y a des dizaines d'années […] Cela a uniquement lieu sur le site de la centrale. Dans le reste de la zone d'exclusion, la situation n'a pas changé ». Quant au géant pétrolier russe Rosneft, celui-ci a dû recourir d’extrême urgence à un serveur de secours, afin de parer au plus pressé en matière de continuité de ses activités industrielles.

De nombreuses entreprises ont-elles aussi subi des pannes informatiques à cause des actions malveillantes du virus à travers les infrastructures digitales, à l'image du célèbre laboratoire pharmaceutique MERCK aux Etats-Unis, dont le système informatique a été compromis par la propagation fulgurante du virus « NotPetya », mais aussi le transporteur maritime Maersk ou encore le siège de l’entreprise allemande Beiersdorf, le fabricant de la célèbre crème Nivea. Le courant a par exemple été coupé dans les usines de production des biscuits Oreo et Lu. En France, l'industriel Saint-Gobain, la filiale immobilière de BNP Paribas, Real Estate et la SNCF ont également été affectés par les effets délétères du virus « Petrwrap ». En Suisse, c’est la principale régie publicitaire de la confédération, Admeira, qui a été touchée par les effets de la propagation du virus.

Les autorités réagissent et le parquet parisien ouvre une enquête sur cette nouvelle action cyber-malveillante d’envergure mondiale. 

Face à ce véritable fléau numérique, les responsabilités sont bien tendues diffuses : pirates, entreprises et concepteurs de logiciels sont inextricablement liés dans cette affaire. Mardi soir, le parquet de Paris a annoncé dans l’urgence, l'ouverture d'une enquête de flagrance pour « accès et maintien frauduleux dans des systèmes de traitement automatisés de données, entrave au fonctionnement de ces systèmes et extorsions et tentatives d'extorsions ». De son côté, l'Etat estime qu'il est trop tôt pour prendre des mesures. Interrogé à New York par l'AFP, Mounir Mahjoubi, le secrétaire d'Etat au Numérique, a indiqué que « des équipes travaillent à analyser cette attaque », qu'il a décrit comme « industrialisée et automatisée, fondée sur une analyse très intelligente des réseaux pour détecter les faiblesses existantes ». Une collaboration doit toutefois s’instaurer entre les différentes polices au niveau mondial, comme cela s’est déjà passé lors de l’attaque causée par le virus Wannacry.

En attendant, que faire ? Au-delà des mises à jour de Windows et des correctifs que Microsoft a signalé pour inciter ses utilisateurs à adopter les dernières versions en date de ses logiciels phares, les « best practices » de bon sens pour se protéger efficacement restent toujours les mêmes, pour tout à chacun :

- Il est nécessaire de disposer des équipes compétentes dédiées à la détection, à l’investigation et à la re-médiation des incidents. 

- Une bonne hygiène du SI (Système d’information) et des budgets suffisants sont évidemment des éléments-clefs pour ne pas se laisser piéger.

- Procéder impérativement à un système de sauvegarde « hors ligne » des données personnelles.

- Former les personnels au contact, les managers et les dirigeants de l’entreprise à la sécurité informatique et aux risques cybercriminels induits.

- Prendre le temps de vérifier les pièces jointes avant de les ouvrir, au risque d’activer une application cyber malveillante dans la foulée de leur activation.

- Renforcer la sécurité au niveau des droits d’accès aux ressources réseaux.

- Mettre en place des solutions de sécurité efficaces, corrélativement à un budget prévisionnel bien construit et des équipes de spécialistes en nombre suffisant.

Mais dans les faits, il faut savoir qu’il est désormais très difficile - voire impossible selon de nombreux experts - d’empêcher la « démocratisation » de ce type d’attaque malveillante, selon l’expression consacrée du colonel Nicolas Duvinage, chef du Centre de lutte contre les criminalités numériques (C3N) de la Gendarmerie Nationale. Elles vont bien entendues se multiplier à l’avenir, n’en doutons pas. Par ailleurs, l'Agence Nationale de la sécurité des systèmes d'information (ANSSI) a également publié une note d’alerte pour se prémunir rapidement face aux actions malveillantes de ce nouveau virus « NotPetya » / « Petrwrap » : 

 

Le sujet vous intéresse ?

À Lire Aussi

Après Wanna Cry, le chantage à l’apocalypse nucléaire ? Le groupe de pirates informatiques qui a fait fuiter les secrets de la NSA affirme détenir des données sur les programmes nucléaires de plusieurs paysPrimaire de la gauche : des attaques informatiques ont eu lieu lors du premier tour

Mots-Clés

Thématiques

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !