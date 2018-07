publié le 28/06/2017 à 17:04

L'Internet mondial est à nouveau frappé par ce qui se présente être un logiciel de rançon, plus communément évoqué sous le nom de ransomware. Mardi 27 juin, quelques milliers d'ordinateurs ont été infectés par un programme malveillant baptisé Petrwrap par plusieurs experts en sécurité. Il bloque les appareils concernés et réclame à l'utilisateur le paiement d'une rançon de 300 dollars.



L'infection a commencé en Ukraine et Russie, où de nombreuses entreprises semblent avoir été spécifiquement visées. Elle a affecté les contrôles sur le site de l'accident nucléaire de Tchernobyl, l'aéroport de Kiev et des bureaux de multinationales dans le monde entier. Pour l'heure, les auteurs et la provenance de cette vaste opération sont encore inconnus.

La cyberattaque rappelle celle du 12 mai qui avait impacté des centaines de milliers d'ordinateurs dans le monde, paralysant notamment les services de santé britanniques (NHS) et des usines du constructeur automobile français Renault. L'éditeur américain d'antivirus Symantec avait accusé les pirates du groupe Lazarus, soupçonné d'être en lien avec la Corée du Nord.

Les caractéristiques d'un ransomware

Ces dernières années, les cybercriminels ont de plus en plus recours aux logiciels de rançon, aussi appelés rançongiciels. Ces programmes informatiques malveillants peuvent être introduits sur un ordinateur, un smartphone ou une tablette. Ils sont difficiles à détecter sur des terminaux mal protégés. Leur but : bloquer l'accès à l'appareil et/ou chiffrer ses fichiers puis réclamer de l'argent. En effet, lorsque le logiciel se lance, il chiffre généralement des documents personnels et importants. Un écran s'affiche pour enjoindre l'utilisateur à verser une somme d'argent, en bitcoin (monnaie virtuelle) généralement, sur une adresse mail pour obtenir la clé de déchiffrement.



Les sommes demandées ne dépassent généralement pas le millier de dollars afin d'inciter les victimes à payer. Parfois, il est plutôt demandé d'envoyer des SMS surtaxés pour obtenir le code de déblocage. Ces petites sommes, multipliées, permettent aux malfaiteurs de se constituer de jolis pactoles. Seulement, une fois l'argent envoyé, rien ne garantit l'envoi de "l'antidote". Par conséquent, les entreprises en sécurité informatique recommandent aux victimes de ne pas payer la rançon.

Un écran affiché par un ransomware

Comment se protéger ?

Bien souvent, l'infection se fait via un mail comportant une pièce jointe malicieuse. Le fichier à télécharger semble inoffensif mais cache pourtant le ransomware. Cela s'apparente à une méthode de phishing (hameçonnage) classique, consistant à faire croire à un utilisateur qu'il reçoit un message provenant d'un organisme officiel afin de lui soutirer ses données personnelles. D'autres vecteurs de contamination sont possibles, notamment une navigation sur des sites Internet piégés, avec des scripts ou des publicités vérolées.



Les victimes sont alors incitées à mettre rapidement hors-tension leur ordinateur et le déconnecter du réseau. Cela doit non seulement permettre d'empêcher le processus de chiffrement des fichiers d'aller à son terme, mais aussi de ne pas contaminer d'autres appareils connectés sur le même réseau, en particulier lorsqu'il s'agit de postes situés en entreprise.



Pour se prémunir, il est recommandé d'effectuer toutes les mises à jour de sécurité proposées par le système d'exploitation, d'être attentif à ne pas cliquer n'importe où sur le web et de ne pas télécharger de pièces jointes issues de mails envoyés par des expéditeurs inconnus. Il apparaît ainsi que des entreprises soient particulièrement vulnérables car, pour limiter les risques d'incompatibilités avec leur infrastructure réseau ou leurs logiciels, elles préfèrent ne pas effectuer les mises à jour.

"Petrwrap" est-il vraiment un ransomware ?

Le programme malveillant à l'origine des incidents du 27 juin provoque un vif débat au sein de la communauté informatique. D'après les premières analyses appuyées par Microsoft, la faille utilisée semble être la même que celle qui avait paralysé 300.000 ordinateurs dans 150 pays à la mi-mai 2017. Cette brèche (nommée EternalBlue) se trouve dans les systèmes d'exploitation Windows et avait été révélée au grand jour après un piratage ayant rendu publique des outils de la NSA, l'agence de sécurité américaine. Les ordinateurs, équipés de Windows XP à Windows 10, sont normalement protégés par la mise à jour déployée depuis plusieurs semaines (MS17-010). Sauf manipulation contraire, cette dernière était automatiquement proposée aux internautes.



Il s'agit sans doute de la seule certitude qu'ont les différents experts qui, en revanche, ne connaissent pas exactement la structure du programme. De premiers rapports estiment qu'il s'agit de "Petrwrap", une version modifiée d'un précédent ransomware dénommé "Petya", qui avait fait des dégâts en 2016. Par rapport à WannaCry, Petrwrap a la particularité d'être plus robuste et d'utiliser plusieurs vecteurs de propagation. D'autres analyses, notamment celle proposée par l'entreprise russe Kaspersky Labs, réfute cette thèse et évoque plutôt une attaque d'un autre genre, plus "complexe" que les précédentes. La dénomination "NotPetya" est ainsi proposée par ceux qui partagent cette conclusion.



Mais ce programme malveillant est-il vraiment un logiciel de rançon au sens strict du terme ? Plusieurs analyses, publiées par Kaspersky et d'autres experts, affirment que Petrwrap pourrait être bien plus que cela : un wiper, autrement dit un logiciel qui a simplement pour but d'effacer les fichiers et ne propose pas de possibilité de restaurer l'ordinateur dans un état sain. Or, un ransomware vise uniquement à soutirer de l'argent. Par conséquent, si la victime paie la rançon exigée du wiper, il n'a aucune chance de retrouver ses données dans leur état d'origine.