Petya : 5 questions sur la cyberattaque mondiale
Depuis mardi 27 juin, de nombreuses entités à travers le monde, et notamment des entreprises industrielles, ont indiqué être victimes d'une nouvelle cyberattaque massive, un mois seulement après le précédent du rançongiciel WannaCry. Le ver NotPetya empêche l'utilisateur d'accéder à ses données et exige, pour les libérer, une rançon de 300 dollars. Décryptage en 5 points.
Qui a été touché?
L'Ukraine a été le premier pays touché mardi 27 juin par le rançongicile Petya, qui s'est ensuite répandu en Russie avant d'affecter des milliers d'entités dans le monde entier. On peut citer par exemple le géant pétrolier russe Rosneft, le groupe pharmaceutique américain Merck et le chimiste Bayer, le géant de la cosmétique Nivéa, ou encore en France Saint Gobain, la SNCF et Auchan (touché aussi en Ukraine). Même les ordinateurs à l’arrêt de la centrale nucléaire de Tchernobyl, qui gèrent la mesure de radiocativité sur le site, auraient été affectés.
Qui sont les pirates?
Le logiciel ayant d'abord infecté des entités ukrainiennes, certains experts ont imaginé qu'il pourrait s'agir d'une attaque menée par un Etat, et ont tourné leurs regards vers la Russie. S'il est difficile à ce stade de se prononcer, la motivation des pirates semble, elle, s'éclaircir. Le logiciel a beau exiger le paiement d'une rançon, de nombreuses voix se sont en effet fait entendre à partir d'hier pour mettre en doute une motivation financière des pirates. Peu automatisé, mal configuré et très complexe pour qui souhaiterait céder à la demande de paiement de la rançon, le processus de paiement serait en fait à peine fonctionnel. La destruction des données pourrait être en fait la seule motivation des pirates, ce qui expliquerait que le ver ne se contente pas de bloquer les fichiers mais mette à mal l'ensemble du système d'exploitation, bloquant totalement les machines.
Petya = WannaCry?
La cyberattaque massive de ce mois de juin présente certaines similitudes avec WannaCry, qui aurait touché pas moins de 300000 ordinateurs dans 150 pays en mai 2017. Les deux vers exploitent une même vulnérabilité de Mirosoft, via le recours à un même exploit (un morceau de programme permettant d'utiliser une vulnérabilité), baptisé "EternalBlue", qui aurait été développé initialement par la NSA et qui avait été dévoilé en avril 2017 par un groupe de hackers, The Shadow Brokers.
Mais Petya utilise aussi un vecteur d'attaque complémentaire, qui était également un outil de la NSA, l'exploit EternelRomance. Conséquence : utiliser les patchs développés suite à l'attaque du mois dernier ne suffit pas à se protéger.
La société spécialisée en informatique F-Secure a d'ailleurs estimé hier dans un communiqué que par rapport à WannaCry, Petya était "une opération bien plus travaillée, plus professionnelle, et potentiellement nettement plus dommeageable pour les entreprises qui en sont victimes". Fortinet, une autre entreprise du secteur, estime que la vague Petya a été "plus rapide, mais plus ciblée que la vague WannaCry".
Petya or NotPetya ?
Le ver qui infecte actuellement des entités du monde entier a été désigné dans un premier temps sous le nom de Petya. Cette famille de malwares a été repéré dès mars 2016. Elle est désormais disponible sous forme de service pour les pirates souhaitant s'épargner la peine de développer leur propre logiciel malveillant. Toutefois, selon les analyses les plus récentes, le ver responsable de la cyberattaque actuelle aurait en fait été recréeéé en intégralité, et certains spécialistes estiment donc qu'il serait plus juste de le désigner, comme l'ont fait les experts de la société spécialiste en sécurité informatique Kaspersky Lab, sous le nom de NotPetya.
Comment se protéger?
Première information cruciale, relayée par nos confrères de l'Usine Digitale : il existerait une parade simple pour les machines qui ne seraient pas encore touchées. Proposée par le chercheur Amit Serper, elle consiste à créer un fichier désigné sous le nom de "perfc" dans le répertoire "c:\windows" et de le mettre en lecture seule (ce qui l'empêche d'être écrasé). Le rançongiciel essayant de créer de même fichier, il se retrouve alors bloqué et l'attaque, stopée.
Si la machine est infectée, les spécialistes conseillent de l'iisoler au plus vite et de ne pas payer la rançon. Et bien spur, de prendre l'habitude de réaliser des sauvegardes régulières pour ne pas perdre ses données.
Sélectionné pour vous
