Cyberattaque NotPetya

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher
Le ransomware NotPetya affecte des centaines de milliers d'ordinateurs de par le monde le 27 juin 2017.

NotPetya est un logiciel malveillant de type wiper[1](il détruit les données), mais apparait sous la forme d'un rançongiciel (appelé aussi ransomware en anglais) en affichant sur l'écran de l'ordinateur infecté une demande de rançon. Son mécanisme de propagation permet de le classer comme ver informatique.

Il est à l'origine d'une nouvelle cyberattaque mondiale (la troisième cyberattaque en moins d'un mois après WannaCry et Adylkuzz, tous les deux survenus en mai 2017), qui a également attiré l'attention des médias internationaux.

Lors de son apparition le 27 juin 2017, il est d'abord considéré comme une nouvelle variante de Petya, mais peu après, cette hypothèse est démentie par Kaspersky Lab qui estime qu'il s'agit « d'un nouveau rançongiciel n'ayant jamais été vu auparavant » et le surnomme ainsi NotPetya afin de le différencier de ce dernier.

Il touche toutes les versions de Microsoft Windows, de Windows XP à Windows 10 et utilise, pour se propager, la faille de sécurité qu'il exploite au même titre que WannaCry, c'est-à-dire EternalBlue, qui a été volée à la NSA par le groupe de pirates informatiques The Shadow Brokers[2]. Cette faille de sécurité de Windows a été corrigée par Microsoft au mois de mars 2017 (bulletin de sécurité MS17-010), mais beaucoup d'entreprises n'ont pas mis à jour leur système d'exploitation, d'où cette cyberattaque mondiale.

Apparition[modifier | modifier le code]

Le 27 juin 2017, une nouvelle vague massive de cyberattaques mondiales « rappelant le mode d'action du virus WannaCry survenu le week-end du 12 au 13 mai 2017 » affecte des centaines de milliers d'ordinateurs du monde entier. Les premières infections dans le monde ont commencé à 11 heures, celles de la France surviennent 5 heures plus tard, à 15 heures.

Entreprises touchées par NotPetya[modifier | modifier le code]

Elle touche simultanément :

  • des entreprises majeures et des grandes banques en Ukraine ;
  • plusieurs grandes entreprises comme Mars ou Nivea (en Allemagne) ;
  • le métro de Kiev indiquait « ne pas pouvoir accepter de paiements en carte bancaire à ses guichets à cause d'une cyberattaque » sur sa page Facebook ;
  • en raison de dysfonctionnements des panneaux d'affichage à l'aéroport de Kiev, des vols pourraient être retardés ;
  • la firme de publicité britannique WPP a déclaré que ses systèmes informatiques avaient également été touchés. Le site de la firme indiquait que des opérations de maintenance étaient en cours sur le site, mais il s'agissait de la cyberattaque ;
  • une grande entreprise d'expédition néerlandaise a confirmé que ses appareils informatiques étaient en panne[3];
  • l'entreprise danoise Maersk, de transport et de logistique a annoncé que plusieurs sites avaient été fermés suite à la cyberattaque ;
  • le géant pétrolier russe Rosneft a déclaré que ses serveurs avaient subi une cyberattaque caractérisée comme puissante, mais il a pu passer sur un serveur de secours ;
  • aux Etats-Unis, le laboratoire pharmaceutique américain Merck et la firme Mondelēz International qui gère la marque française de biscuiterie LU ont également été touchés, les conduisant à couper l'électricité ;
  • la centrale nucléaire de Tchernobyl a également été touchée par le virus, et les mesures de la radioactivité ne sont plus suivies informatiquement, mais manuellement, par les techniciens avec des compteurs Geiger.

La France n'est pas épargnée par le virus NotPetya :

  • l'entreprise française spécialisée dans la construction de bâtiments Saint-Gobain a été touchée par le virus ;
  • l'enseigne de grande distribution française Auchan a également été touchée via sa filiale ukrainienne mais les magasins français n'ont pas été affectés ;
  • la SNCF a également été affectée par le virus, mais ce dernier a été contenu, les équipes étant sur le pont pour contrer l'attaque. Il n'y a eu aucune perturbation sur le réseau.

Caractéristiques[modifier | modifier le code]

Le ransomware NotPetya s'affiche à chaque démarrage de l'ordinateur à la place de Windows. Ainsi, on voit, sur un écran noir avec un texte écrit en rouge et en anglais, le message suivant :

"Ooops, vos fichiers ont été cryptés. Si vous voyez ce message, vos fichiers ne sont plus accessibles, car ils ont été cryptés. Peut-être que vous recherchez un moyen de récupérer vos fichiers, mais ne perdez pas votre temps. Personne ne peut récupérer vos fichiers sans notre service de décryptage."

Ainsi, ce dernier demande un paiement en Bitcoin, monnaie informatique intraçable, de 300 Dollars et de l'envoyer à une adresse e-mail au hasard, pour pouvoir récupérer l'accès à ses fichiers. Mais l'adresse renvoyée a été désactivée par le fournisseur de messagerie allemand Posteo, ce qui fera qu'aucun fichier ne sera récupéré après le paiement de la rançon[4]. Les données sont alors détruites. Pour les experts en sécurité informatique, NotPetya n'est pas un ransomware, mais un wiper, qui servira à détruire les données des utilisateurs : son but n’est pas l’extorsion, mais la destruction pure et simple des données informatiques[1].

Contrairement à WannaCry, il n'existe ni « kill switch », un mécanisme d’arrêt global, ni d’outil de déchiffrement. Une solution de prévention a néanmoins été trouvée par des experts. En effet, il est possible d’immuniser son système contre une future infection de Petya en créant un simple fichier sur l'ordinateur[5].

Diffusion et activation du ransomware[modifier | modifier le code]

Le ransomware NotPetya s'active depuis une tâche planifiée ou un fichier exécutable (.exe). Une fois qu'on clique sur ce fichier, l'ordinateur infecté va planter et redémarrer en affichant un écran bleu de la mort, puis l'utilitaire de recherche des erreurs sur les disques durs de Windows (appelé CHKDSK) va procéder à une fausse vérification des disques durs avant que le message de rançon s'affiche sur l'écran de l'ordinateur infecté. Une fois qu’il a réussi à prendre pied sur une machine au sein d’un réseau d’entreprise, NotPetya va tenter de se diffuser à travers le réseau interne de l’entreprise pour piéger d’autres machines. Pour cela, le malware a plusieurs cordes à son arc. Il intègre deux outils de piratage volés à la NSA, qui ont été publiés par le groupe The Shadow Brokers, à savoir EternalBlue et EternalRomance (les deux failles de sécurité de Windows). Les deux permettent de prendre le contrôle d’une machine par le biais du protocole SMBv1. Ils s’appuient sur des failles qui ont été patchées depuis plusieurs mois par Microsoft[6].

Si la voie du protocole SMB est infructueuse, le malware va chercher des mots de passe administrateur sur la machine et, le cas échéant, tenter de se connecter sur d’autres terminaux par les ports TCP 139 et 445 en utilisant le fameux protocole SMBv1. S’il détecte un serveur ou, mieux, un contrôleur de domaine, il y déposera un exécutable (.exe) qui sera actionné à distance en utilisant des outils de téléadministration de Microsoft (PSEXEC et WMIC). L’avantage de cette méthode est qu’elle permet aux pirates d’infecter des machines même si elles ont toutes les mises à jour de sécurité installées.  

Si le réseau de l’entreprise est connecté à des partenaires, rien n’empêche les pirates d’infecter par ce biais d’autres organisations.

Les cibles et vecteurs d'infection[modifier | modifier le code]

A l’instar de WannaCry, NotPetya cible surtout les entreprises et les organisations. Mais contrairement à son prédécesseur, il ne se propage pas de manière sauvage par Internet. D’après Microsoft, la première infection a eu lieu en Ukraine : les pirates se sont servis de la procédure de mise à jour d’un logiciel de comptabilité ukrainien (MEDoc) pour faire entrer leur code malveillant dans le réseau d’une entreprise locale[7]. Ce logiciel est très utilisé dans les entreprises ukrainiennes, cette hypothèse permettrait d'expliquer sa viralité dans le pays, puis dans l'Europe.

Kaspersky a identifié un autre vecteur d’infection du ransomware NotPetya, à savoir le site web de la ville ukrainienne de Bakhmut, dans la région de Donetsk. Les pirates ont piégé la page d’accueil de telle manière à provoquer le téléchargement d’un exécutable déguisé en mise à jour Microsoft Windows. Les pirates ont peut-être utilisé d’autres vecteurs, comme l’envoi d’e-mails piégés aux victimes.

Le processus de déchiffrement est totalement inopérant depuis que l’hébergeur de messagerie instantanée allemand Posteo a désactivé l’unique adresse e-mail que devaient utiliser les victimes pour confirmer le paiement en Bitcoins de la rançon. Sans cette confirmation, les pirates ne peuvent pas identifier le payeur et donc envoyer la clé de chiffrement, si toutefois ils avaient jamais eu l’intention de le faire.

Pour sa part, le chercheur en sécurité Matt Suiche estime que le message de rançon n’est qu’un leurre pour alimenter la machine médiatique et que le véritable objectif de cette attaque est le sabotage. D’après son analyse, les données de la zone d’amorçage ne sont sauvegardées nulle part, mais simplement remplacées par autre chose. Le disque dur serait donc de toute façon irrécupérable. « La version actuelle de NotPetya a été réécrite pour être un wiper, et non un ransomware », souligne l’expert.

Enquête et soupçons[modifier | modifier le code]

Plusieurs hypothèses ont été faites pour trouver le « patient zéro », c'est-à-dire le premier ordinateur à avoir été infecté. Il s'agit d'une hypothèse appuyé par Microsoft qui dit avoir des preuves de l'implication de ce logiciel dans la propagation du rançongiciel[8].

En France, le parquet de Paris a ouvert une enquête en flagrance pour « accès et maintien frauduleux dans des systèmes de traitement automatisé de données », « entrave au fonctionnement de ces systèmes » et « extorsion et tentative d'extorsion ».

Prévention du virus[modifier | modifier le code]

L'Agence nationale de la sécurité des systèmes d'information recommande fortement de faire les opérations suivantes :

  • effectuer régulièrement des sauvegardes de ses fichiers importants sur des supports externes et isolés qui doivent rester déconnectés de l'ordinateur ;
  • mettre à jour ses logiciels (particulièrement les anti-virus et pare-feu) ainsi que le système d'exploitation Windows régulièrement ;
  • ne jamais cliquer sur des liens Internet douteux ou piratés ;
  • ne jamais donner ses coordonnées bancaires à des personnes inconnues ;
  • désactiver le protocole de partage de fichiers SMB1.

Il existe aussi un moyen de vacciner son ordinateur contre le virus en créant un fichier local nommé "perfc" à la racine du dossier Windows pour ne pas être infecté par le ransomware NotPetya. C'est ce fichier qu'il va chercher avant de commencer le chiffrement des données de l'ordinateur. S'il trouve ce fichier, le chiffrement des données n'aura pas lieu. S'il ne trouve pas ce fichier, il continuera son travail.

En cas d'infection[modifier | modifier le code]

En cas d'infection par le virus NotPetya, il est recommandé de :

  • déconnecter immédiatement l'ordinateur en question du réseau local pour éviter la contamination des autres ordinateurs par le virus ;
  • isoler le serveur le temps d'appliquer les mesures de sécurité nécessaires ;
  • prévenir le service informatique ou le service de sécurité le plus rapidement possible si vous êtes en entreprise.

Notes et références[modifier | modifier le code]

  1. a et b Pierre Sautreuil et Fabrice Deprez, « Ukraine, anatomie d'une cyberguerre — épisode 1 : la menace au quotidien - Politique - Numerama », Numerama,‎ (lire en ligne)
  2. « Déclaration de la police française : Le rançongiciel #Petya exploite le même mode de propagation que #WannaCry. Toutes les versions Windows sont concernées. », sur twitter.com, (consulté le 27 juin 2017)
  3. (en) Jon Henley European affairs correspondent, « 'Petya' ransomware attack strikes companies across Europe », The Guardian,‎ (ISSN 0261-3077, lire en ligne)
  4. (en) « Global ransomware attack causes turmoil », BBC News,‎ (lire en ligne)
  5. (en) Charlie Osborne, « Create a single file to protect yourself from the latest ransomware attack | ZDNet », ZDNet,‎ (lire en ligne)
  6. (en) Mark Scott et Nicole Perlroth, « New Cyberattack Spreads in Europe, Russia and U.S. », The New York Times,‎ (ISSN 0362-4331, lire en ligne)
  7. (uk) « Déclaration officielle de la police ukrainienne du cybercrime au sujet du « patient zéro » », sur twitter.com, (consulté le 28 juin 2017)
  8. (en) « New ransomware, old techniques: Petya adds worm capabilities », Windows Security,‎ (lire en ligne)

Articles connexes[modifier | modifier le code]