Virus Petya, NotPetya, ExPetr : les dessous de la cyberattaque mondiale
[Mis à jour le 06/07/2017] Un message publié sur le web le 4 juillet propose la clé de déchiffrement du virus contre le paiement de 100 bitcoins (l'équivalent de 229 000 euros).
Des cyberattaques ont touché simultanément plusieurs dizaines d'entreprises ukrainiennes et russes le 27 juin, selon le spécialiste de la sécurité informatique Group-IB. Parmi les organisations concernées, on relève des acteurs dans les transports, les médias, les télécoms et le secteur public. Egalement touchées, des banques locales ont éprouvé des difficultés à prendre en charge leurs clients. Les systèmes de contrôle de Tchernobyl ont par ailleurs été affectés.
Des entreprises et organisations ont aussi été ciblées dans d'autres pays européens (en Allemagne, au Royaume-Uni, en Italie, en Pologne...), et dans une moindre mesure en Amérique du Nord et en Australie. En France, la SNCF a été touchée. Mais aussi Saint-Gobain. L'information a été confirmée par le groupe qui précise avoir "isolé ses systèmes d'information" en vue de protéger ses données. Le géant publicitaire britannique WPP et le transporteur maritime danois Maersk ont aussi été touchés.
Un ransomware qui ne déchiffre pas les données
La source de ces cyberattaques ? Un virus déguisé en ransomware. "Il s'agit d'un code inspiré du rançongiciel WannaCry qui peut infecter des terminaux Windows plus anciens, remontant jusqu'à la version NT1 du système d'exploitation de Microsoft", commente Frans Imbert-Vier, PDG d'Ubcom, une agence d'audit et de conseil en cybersécurité. Le 12 mai dernier, WannaCry avait paralysé des centaines de milliers d'ordinateurs à travers le monde. En France, plusieurs usines du constructeur Renault avaient notamment été affectées.
Petya or NotPetya ? That is the question
Chez Kaspersky, on confirme que le nouveau virus tire parti de la même faille que celle exploitée par WannaCry. "Il repose sur un code d'exploitation dérivé d'EternalBlue pour se propager au sein des réseaux", précise les experts de l'éditeur d'antivirus. "Cependant, il ne s'agit pas directement d'une variante de WannaCry (Petya ndlr) comme cela a pu être indiqué, mais d'un nouveau virus jamais observé auparavant. C'est pour cette raison que nous l'avons rebaptisé NotPetya, puis ExPetr".
Principale différence avec WannaCry : du fait de son mode de conception, cette nouvelle menace ne pouvait pas nativement déchiffrer le disque infecté, même après le paiement de la rançon... "Pour parvenir à déchiffrer des disques, les cybercriminels ont besoin d'une clé d'activation. Dans les versions précédentes de ransomwares similaires, cette clé d'activation contenait les informations nécessaires à la récupération de la clé de déchiffrement. ExPetr n'en a pas (dans son code ndlr)", constate-t-on chez Kaspersky Lab.
En clair, les victimes ne pouvaient pas récupérer leurs données... en tous cas jusqu'ici. Car le 4 juillet, un message publié sur le réseau Tor proposait la clé de déchiffrement contre le paiement de 100 bitcoins (l'équivalent de 229 000 euros). Le message était accompagné d'un fichier signé grâce à la clé privée du virus, tendant à prouver son origine.
Une faille dévoilée par Wikileaks
Un site web ukrainien de la région de Bakhmout aurait été utilisé initialement pour propager l'attaque via la méthode du "drive-by-download". "Les visiteurs ont été mis en contact avec un fichier malveillant déguisé en mise à jour Windows", indique-t-on chez Kaspersky Lab.
Microsoft avait publié le 14 mars dernier un bulletin (MS17-010) et une mise à jour de sécurité permettant de combler la faille EternalBlue. Une faille découverte initialement par la NSA... "L'agence l'avait gardée secrète jusqu'au moment où elle a été rendue publique sur Wikileaks", rappelle Frans Imbert-Vier. C'est là que les pirates s'en sont emparés.