Cela fait deux jour qu’une nouvelle cyberattaque d’envergure se propage mondialement. Ce mardi 27 juin, NotPetya, un virus appartenant à première vue à la catégorie des ransomware, à l’instar de Wannacry qui avait fait pas mal de dégâts en mai, avait déjà infecté plusieurs milliers d’ordinateurs en quelques heures. Les grandes sociétés de cybersécurité comme MalwareTech ou Kaspersky Lab ne sont aps tout à fait d’accord quand à la nature du virus et de l’attaque.
Si vous n’êtes pas au courant des diverses cyberattaques de grande envergure qui ont frappé l’ensemble du globe ces deux derniers mois ,alors vous vivez certainement dans une grotte et vous ne lirez donc pas ceci. Pour rappel, au mois de mai, le ransomware (logiciel de rançon) Wannacry avait fait un carnage en s’autorépliquant sur plus de 300.000 ordinateurs répartis sur 150 pays dans le monde, touchant plus durement l’Inde, les USA et la Russie et paralysant parfois des institutions ou des entreprises privées d’importance, comme Renault, Fedex, le ministère de l’Intérieur russe ou encore le réseau du système national de santé britannique.
WannaCry utilise une faille de sécurité informatique de Windows exploitée par EternalBlue, un exploit supposément développé par la NSA qui avait été pourtant corrigé par Microsoft en mars 2017, mais qui a frappé les machines n’ayant pas encore été mises à jour ou utilisant un système d’exploitation ancien. Moins connu du grand public, Adylkuzz, un virus de minage de monnaie virtuelle, a sévi au même moment, utilisant exactement la même faille.
Mardi dernier, c’était au tour de NotPetya de briller de mille feux. D’abord identifié par un expert de Kaspersky comme étant une itération plus élaborée d’un ancien virus du même type appelé Petya avant de communiquer un rectificatif certifiant qu’il s’agissait là d’un nouveau virus jamais vu auparavant (d’où le nom « NotPetya »: Pas Petya) et indiquant qu’ils ne savaient si une clé de décryptage pourrait être conçue pour les 2000 ordinateurs infectés en quelques heures principalement dans la région russe et ukrainienne. A savoir qu’une poignée d’entreprises européennes et américaines ont signalé avoir eu maille à partir avec ce vilain malware.
A l’heure actuelle, les experts débattent sur la nature et la véritable fonction de NotPetya. Alors qu’il se présente sous la forme d’un ransomware classique simulant un scanning du disque et cryptant les données présentes, agrémenté d’un charmant message vous signalant la chose et vous expliquant la méthode pour décrypter vos données en versant une « rançon » en bitcoin pour obtenir une clé, les différents experts travaillant sur le problème ont remarqué que l’adresse mail mentionnée pour réceptionner les preuves de paiements a été assez rapidement mise hors service, ce qui infirmerait la théorie du ransomware, et conforterait plutôt l’idée que ce virus a simplement été lancé sur le monde numérique pour y provoquer le chaos.
Le Kaspersky Lab étaye cette théorie par d’autres observations : le virus écraserait certaines données plutôt que de les crypter, la méthode de récupération de l’argent est fastidieuse et les hackers n’utilisent qu’un seul compte bitcoin pour recueillir les rançons, ce qui indique soit un certain amateurisme (ce que dément la complexité du virus), soit une motivation pécuniaire assez molle.
Les questions principales demeurent évidemment « qui? », et « pourquoi? ».
