Nouvelle vague d’attaque au ransomware « NotPetya » : qui est vraiment responsable ? <!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
International
Nouvelle vague d’attaque au ransomware « NotPetya » : qui est vraiment responsable ?
©Reuters

Attaque informatique

Après la déferlante « WannaCry » il y a quelques semaines, qui avait déjà durement impacté plus de 150 pays à travers le monde, une nouvelle cyberattaque d’envergure mondiale au rançongiciel se déploie actuellement à l’échelle planétaire.

Franck DeCloquement

Franck DeCloquement

Ancien de l’Ecole de Guerre Economique (EGE), Franck DeCloquement est expert-praticien en intelligence économique et stratégique (IES), et membre du conseil scientifique de l’Institut d’Études de Géopolitique Appliquée - EGA. Il intervient comme conseil en appui aux directions d'entreprises implantées en France et à l'international, dans des environnements concurrentiels et complexes. Membre du CEPS, de la CyberTaskforce et du Cercle K2, il est aussi spécialiste des problématiques ayant trait à l'impact des nouvelles technologies et du cyber, sur les écosystèmes économique et sociaux. Mais également, sur la prégnance des conflits géoéconomiques et des ingérences extérieures déstabilisantes sur les Etats européens. Professeur à l'IRIS (l’Institut de Relations Internationales et Stratégiques), il y enseigne l'intelligence économique, les stratégies d’influence, ainsi que l'impact des ingérences malveillantes et des actions d’espionnage dans la sphère économique. Il enseigne également à l'IHEMI (L'institut des Hautes Etudes du Ministère de l'Intérieur) et à l'IHEDN (Institut des Hautes Etudes de la Défense Nationale), les actions d'influence et de contre-ingérence, les stratégies d'attaques subversives adverses contre les entreprises, au sein des prestigieux cycles de formation en Intelligence Stratégique de ces deux instituts. Il a également enseigné la Géopolitique des Médias et de l'internet à l’IFP (Institut Française de Presse) de l’université Paris 2 Panthéon-Assas, pour le Master recherche « Médias et Mondialisation ». Franck DeCloquement est le coauteur du « Petit traité d’attaques subversives contre les entreprises - Théorie et pratique de la contre ingérence économique », paru chez CHIRON. Egalement l'auteur du chapitre cinq sur « la protection de l'information en ligne » du « Manuel d'intelligence économique » paru en 2020 aux Presses Universitaires de France (PUF).

Voir la bio »

Le « rançongiciel » (contraction des deux mots « rançon » et « logiciel »), ou « ransomware » en anglais, est parti d'Ukraine, ce mardi 27 juin, et s'est très rapidement diffusée - tel un feu de paille - dans l'Europe entière. Mais aussi aux Etats-Unis, au Danemark, en France, en Grande-Bretagne, en Norvège et aux Pays-Bas, et par effet rebond, dans le reste du monde…

Le mode opératoire de la contamination de ce nouveau virus baptisé « NotPetya », « Petrwrap » ou « ExPetr » est très similaire à celui précédemment identifié pour Wannacry : le virus s'est très classiquement engouffré dans une faille informatique du système d'exploitation Windows de Microsoft, précédemment révélée par les services spécialisés de la célèbre agence américaine en charge la sécurité nationale : la NSA. Cette faille d'exploitation, dite aussi « Eternal Blue », est présente dans tous les systèmes Microsoft. Selon Microsoft justement, la vague d’attaques « utilise plusieurs techniques pour se propager ». La puissance de cette méthode d'infection est telle qu'elle aurait les capacités d'engendrer des dommages d'une « ampleur inégalée auparavant ». Dès lors, elle est en capacité de paralyser tous les systèmes informatiques non protégés en chiffrant les données. Les rendant parfaitement inaccessibles au propriétaire des dites données. Pour les « débloquer », le ransomware exige le paiement d’une rançon de 300 dollars, payable en Bitcoin, cette monnaie virtuelle très difficilement à traçable par les autorités... Après avoir réglé la somme demandée, les victimes sont censées recevoir un code « remède » permettant de déchiffrer leurs données cryptées… Ce qui s’avère totalement faux dans la plupart des cas. Les premiers retours d’expérience montrent que le ransomware « NotPetya » écraserait le « master boot record », ou « MBR ». Autrement dit, le premier secteur adressable d'un disque dur. Et ceci, comme le faisait précédemment le rançongiciel Wannacry qui utilisait plusieurs moyens pour se déployer à travers un réseau informatique, via les outils d'administration de Windows notamment. Ce nouveau rançongiciel touche une fois de plus les ordinateurs qui n'ont pas effectué les mises à jour recommandées de Windows, et sont donc vulnérables à la faille de sécurité utilisée par cette nouvelle infection numérique.

À l’heure où nous rédigeons ces lignes, 30.000 serveurs seraient d’ores et déjà touchés en France, et plus de 2 millions d’autres le seraient également dans le reste du monde, d'après les premières estimations des experts en sécurité informatique. En outre, les installations de contrôle des radiations de la centrale nucléaire de Tchernobyl. Mais ces chiffres sont bien entendu sujet à caution pour l’heure. Pour Mounir Mahjoubi, le nouveau secrétaire d'Etat au numérique nommé par Emmanuel Macron : « le niveau de cette cyberattaque est sans précédent ». D'après plusieurs experts d’entreprises œuvrant dans le domaine de la protection des infrastructures numériques, le danger vient aussi du fait que la mise à jour Windows recommandée par Microsoft peut ne pas s'avérer suffisante en l’état… Dès lors,  si un utilisateur « clic » malencontreusement sur un lien infecté par le virus « NotPetya », le logiciel malveillant infiltrera irrémédiablement les réseaux. Il lui est alors aisé d’infecter - de proche en proche - les infrastructures et tous les ordinateurs non contaminés se trouvant à proximité. La contagion est alors fulgurante…

Des cibles importantes d’ores et déjà touchées en Europe, et partout dans le monde.

Moins de 24 heures après le déclenchement des premières actions malveillantes dues au virus « NotPetya », l’impact de cette nouvelle cyberattaque est déjà particulièrement impressionnant. Les déclarations de l'éditeur de solutions de cybersécurité Kasperky sont assez édifiantes à ce propos : l'Ukraine serait le pays le plus touché devant la Russie. Et dans une moindre mesure,  l'Italie et la Pologne. En Russie et en Ukraine, le ransomware « NotPetya » aurait impacté des dizaines de cibles aussi variées le fabricant de confiseries « Mars », des banques, des infrastructures gouvernementales ukrainiennes, ainsi que les terminaux de paiement de onze supermarchés ukrainiens du groupe de grande distribution Auchan, implantés dans cinq villes du pays.

Plus préoccupant encore, le système de surveillance des radiations de la centrale nucléaire ukrainienne de Tchernobyl a été lui aussi été infecté par le virus baptisé « Petrwrap », « ExPetr » ou « NotPetya », dérivé de Wannacry. Obligeant ainsi tous les personnels spécialisés à revenir à des mesures manuelles de contrôle de la radioactivité… Olena Kovaltchouk, la porte-parole de l'agence gouvernementale de gestion de la zone d'exclusion de Tchernobyl a d’ailleurs déclaré à ce propos : « nos techniciens mesurent la radioactivité avec des compteurs Geiger sur le site de la centrale, comme on le faisait il y a des dizaines d'années […] Cela a uniquement lieu sur le site de la centrale. Dans le reste de la zone d'exclusion, la situation n'a pas changé ». Quant au géant pétrolier russe Rosneft, celui-ci a dû recourir d’extrême urgence à un serveur de secours, afin de parer au plus pressé en matière de continuité de ses activités industrielles.

De nombreuses entreprises ont-elles aussi subi des pannes informatiques à cause des actions malveillantes du virus à travers les infrastructures digitales, à l'image du célèbre laboratoire pharmaceutique MERCK aux Etats-Unis, dont le système informatique a été compromis par la propagation fulgurante du virus « NotPetya », mais aussi le transporteur maritime Maersk ou encore le siège de l’entreprise allemande Beiersdorf, le fabricant de la célèbre crème Nivea. Le courant a par exemple été coupé dans les usines de production des biscuits Oreo et Lu. En France, l'industriel Saint-Gobain, la filiale immobilière de BNP Paribas, Real Estate et la SNCF ont également été affectés par les effets délétères du virus « Petrwrap ». En Suisse, c’est la principale régie publicitaire de la confédération, Admeira, qui a été touchée par les effets de la propagation du virus.

Les autorités réagissent et le parquet parisien ouvre une enquête sur cette nouvelle action cyber-malveillante d’envergure mondiale. 

Face à ce véritable fléau numérique, les responsabilités sont bien tendues diffuses : pirates, entreprises et concepteurs de logiciels sont inextricablement liés dans cette affaire. Mardi soir, le parquet de Paris a annoncé dans l’urgence, l'ouverture d'une enquête de flagrance pour « accès et maintien frauduleux dans des systèmes de traitement automatisés de données, entrave au fonctionnement de ces systèmes et extorsions et tentatives d'extorsions ». De son côté, l'Etat estime qu'il est trop tôt pour prendre des mesures. Interrogé à New York par l'AFP, Mounir Mahjoubi, le secrétaire d'Etat au Numérique, a indiqué que « des équipes travaillent à analyser cette attaque », qu'il a décrit comme « industrialisée et automatisée, fondée sur une analyse très intelligente des réseaux pour détecter les faiblesses existantes ». Une collaboration doit toutefois s’instaurer entre les différentes polices au niveau mondial, comme cela s’est déjà passé lors de l’attaque causée par le virus Wannacry.

En attendant, que faire ? Au-delà des mises à jour de Windows et des correctifs que Microsoft a signalé pour inciter ses utilisateurs à adopter les dernières versions en date de ses logiciels phares, les « best practices » de bon sens pour se protéger efficacement restent toujours les mêmes, pour tout à chacun :

- Il est nécessaire de disposer des équipes compétentes dédiées à la détection, à l’investigation et à la re-médiation des incidents. 

- Une bonne hygiène du SI (Système d’information) et des budgets suffisants sont évidemment des éléments-clefs pour ne pas se laisser piéger.

- Procéder impérativement à un système de sauvegarde « hors ligne » des données personnelles.

- Former les personnels au contact, les managers et les dirigeants de l’entreprise à la sécurité informatique et aux risques cybercriminels induits.

- Prendre le temps de vérifier les pièces jointes avant de les ouvrir, au risque d’activer une application cyber malveillante dans la foulée de leur activation.

- Renforcer la sécurité au niveau des droits d’accès aux ressources réseaux.

- Mettre en place des solutions de sécurité efficaces, corrélativement à un budget prévisionnel bien construit et des équipes de spécialistes en nombre suffisant.

Mais dans les faits, il faut savoir qu’il est désormais très difficile - voire impossible selon de nombreux experts - d’empêcher la « démocratisation » de ce type d’attaque malveillante, selon l’expression consacrée du colonel Nicolas Duvinage, chef du Centre de lutte contre les criminalités numériques (C3N) de la Gendarmerie Nationale. Elles vont bien entendues se multiplier à l’avenir, n’en doutons pas. Par ailleurs, l'Agence Nationale de la sécurité des systèmes d'information (ANSSI) a également publié une note d’alerte pour se prémunir rapidement face aux actions malveillantes de ce nouveau virus « NotPetya » / « Petrwrap » : 

Le sujet vous intéresse ?

À Lire Aussi

Après Wanna Cry, le chantage à l’apocalypse nucléaire ? Le groupe de pirates informatiques qui a fait fuiter les secrets de la NSA affirme détenir des données sur les programmes nucléaires de plusieurs paysPrimaire de la gauche : des attaques informatiques ont eu lieu lors du premier tour

Mots-Clés

Thématiques

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !