3 min de lecture Connecté

Cyberattaque : le programme malveillant serait plus dangereux que prévu

Selon plusieurs analystes, les ordinateurs infectés auraient été touchés par un logiciel qui efface tout simplement les données, sans possibilité de les déchiffrer.

Un ordinateur en Roumanie touché par la cyberattaque perpétrée le 27 juin 2017
Un ordinateur en Roumanie touché par la cyberattaque perpétrée le 27 juin 2017
JulienAbsalon1
Julien Absalon
Journaliste RTL

Une attaque pour en cacher une autre ? Les milliers d'ordinateurs rendus inopérationnels dans la cyberattaque mondiale de mardi 27 juin ont peut-être perdu des fichiers de façon irréversible. Pourtant, les premières constations et analyses indiquaient que le programme malveillant, communément appelé Petya ou Petrwrap, était un ransomware (logiciel de rançon ou rançongiciel).

Les victimes ont vu apparaître un écran leur réclamant de payer 300 dollars pour débloquer l'appareil qui a vu ses données être chiffrées. Le paiement de la somme d'argent (déconseillé) implique alors de recevoir une clé de déchiffrage. Dans ce type d'attaques, si cette clé est effectivement fournie, le ransomware est généralement configuré pour remettre en état la machine. Seulement, d'autres analyses détaillées démontrent que cette version de Petya cache aussi une fonction qui vise à effacer purement et simplement les données. Contrairement à un logiciel de rançon ayant principalement pour but de soutirer de l'argent, le logiciel effaceur (wiper) a surtout un objectif destructeur.

Le système de rançon était sous-développé

Cette conclusion a été établie par plusieurs experts en sécurité, notamment l'éditeur russe d'antivirus Kaspersky et le hacker français reconnu Matthieu Suiche. Il est par exemple expliqué que les informations présentées sur l'écran menaçant, et censées permettre au cybercriminel de déchiffrer l'ordinateur, sont en réalité totalement aléatoires. Elles seraient ainsi affichées uniquement pour faire croire à l'utilisateur qu'il est face à un ransomware et que le versement des 300 dollars lui permettra de libérer sa machine.

À lire aussi
Antoine Fichet et Damian Py veulent faire du lave-vaisselle un produit portable et éco-responsable Connecté
VIDÉO - Bob, le lave-vaisselle portable sans arrivée d'eau made in France

Seulement, les pirates n'ont semble-t-il pris aucun soin de leur moyen de se faire payer. L'adresse mail permettant de payer la rançon, qui est affichée de façon explicite et n'utilisant pas un réseau complexe, a été désactivée sans tarder par son hébergeur. En ne prenant pas soin d'utiliser un système plus complexe, tout laisse à penser que la récolte d'argent ne constituait pas une préoccupation première. D'ailleurs, seulement 10.000 dollars auraient été récupérés, une somme bien éloignée des 140 millions de dollars obtenus par WannaCry, responsable de la cyberattaque mondiale de mai 2017. Enfin, une fonction cachée du programme serait capable de se déclencher pour détruire des secteurs critiques des disques durs touchés.

Une diversion pour cacher l'attaque liée à un État ?

Néanmoins contredite par d'autres analyses poussées, l'expertise de Matthieu Suiche propose cette conclusion : le stratagème utilisé n'est autre qu'une diversion pour faire croire à une simple tentative d'escroquerie et cacher une attaque bien plus grave et ciblée. "Nous pensons que le ransomware était en fait un leurre pour contrôler le récit médiatique, surtout après les incidents de WannaCry (la cyberattaque mondiale de mai 2017, ndlr), pour attirer l'attention sur un groupe de pirates mystérieux plutôt qu'un groupe provenant d'un État souverain", indique le spécialiste. Il cite notamment le virus Shamoon qui avait ciblé en 2012 les secteurs énergétiques hautement stratégiques de l'Arabie Saoudite. "Ce n'est pas un ransomware, c'est un wiper, ce qui change totalement la perspective. Nous ne sommes pas dans le cas d'un acte de cybercriminalité classique", abonde auprès de l'AFP le directeur général France de Kaspersky Labs, Tanguy de Coatpont.

Selon les bilans de la cyberattaque, le programme malveillant a principalement impacté l'Ukraine. Plus de la moitié des terminaux infectés s'y trouvent, notamment les systèmes de contrôle du site de l'accident nucléaire de Tchernobyl. De plus, ce sont principalement des entreprises basées en Ukraine (notamment le métro de Kiev) et autres multinationales qui ont été visées via une propagation qui n'a pas vraiment utilisé l'Internet public mais plutôt des réseaux internes privés. De quoi renforcer les suspicions sur une attaque d'ordre étatique. Encore faut-il pouvoir le prouver de façon formelle.

La rédaction vous recommande
Lire la suite
Connecté Informatique Fil Futur
Restez informé
Commentaires

Afin d'assurer la sécurité et la qualité de ce site, nous vous demandons de vous identifier pour laisser vos commentaires. Cette inscription sera valable sur le site RTL.fr.

Connectez-vous Inscrivez-vous

500 caractères restants

fermer
Signaler un abus
Signaler le commentaire suivant comme abusif
500 caractères restants
article
7789157717
Cyberattaque : le programme malveillant serait plus dangereux que prévu
Cyberattaque : le programme malveillant serait plus dangereux que prévu
Selon plusieurs analystes, les ordinateurs infectés auraient été touchés par un logiciel qui efface tout simplement les données, sans possibilité de les déchiffrer.
http://www.rtl.fr/actu/futur/cyberattaque-plus-dangereux-petya-petrwrap-7789157717
2017-06-29 17:21:30
http://media.rtl.fr/cache/UiC4SxKeSAFUGDA7YKcqHQ/330v220-2/online/image/2017/0629/7789157719_un-ordinateur-en-roumanie-touche-par-la-cyberattaque-perpetree-le-27-juin-2017.jpg