Tweet
Moins de deux mois après WannaCry, une nouvelle vague de «ransomware» a affecté ce mardi de nombreuses entreprises en Ukraine, en Russie et dans plusieurs pays d'Europe, jusqu'aux Etats-Unis. En France, Saint-Gobain et la SNCF ont été touchés.
Comme un air de déjà vu… L’apparition et la dissémination, ce mardi, d’un nouveau «rançongiciel» ou ransomware, baptisé NotPetya par l’éditeur russe de solutions de cybersécurité Kaspersky, rappelle le précédent WannaCry. Le 12 mai, ce logiciel malveillant avait frappé des entreprises et des institutions publiques dans plus de 150 pays, dont des hôpitaux britanniques, des banques russes, l’opérateur télécom espagnol Telefonica, ou le constructeur automobile français Renault. D’abord détecté en Ukraine, NotPetya s’est également propagé en Russie, dans plusieurs pays d’Europe et jusqu'aux Etats-Unis. Si le nombre d’utilisateurs touchés semble pour l’heure moins élevé que pour WannaCry, cette nouvelle vague de rançongiciel frappe, elle aussi, par sa viralité.
Que s’est-il passé ?
«Ce mardi, nous avons reçu des informations de plusieurs de nos clients et partenaires, nous indiquant qu’ils étaient frappés par une nouvelle variante de ransomware», explique à Libération Costin Raiu, qui dirige l’équipe d’analyse et de recherche de Kaspersky. Les utilisateurs affectés ont vu s’afficher sur leur écran un message leur indiquant : «Si vous voyez ce texte, c’est que vos fichiers ne sont désormais plus accessibles, parce qu’ils ont été chiffrés. Peut-être êtes-vous occupé à trouver un moyen de [les] récupérer, mais ne perdez pas votre temps.» Suit une demande de rançon – 300 dollars (264 euros) en bitcoins –, le numéro du compte sur lequel la verser, ainsi qu’une adresse mail, à laquelle l’utilisateur dont la machine a été «séquestrée» doit envoyer un identifiant.
Dans un premier temps, plusieurs spécialistes en sécurité informatique, dont Raiu, ont cru avoir affaire à une variante de Petya, un rançongiciel repéré en mars 2016. Notamment parce que ce nouveau ransomware infecte de la même manière la «zone d’amorçage» du disque dur, celle qui permet de lancer le système d’exploitation, et chiffre non pas les données elles-mêmes, mais un seul «composant critique», à savoir le «catalogue» de tous les fichiers stockés sur le disque. Ce qui permet de bloquer une machine beaucoup plus rapidement, parfois «en moins d’une minute», explique l’expert de Kaspersky.
Mais en fin de journée, l’entreprise a finalement estimé qu’il s’agissait d’«un nouveau ransomware, qui n’a jamais été vu auparavant», même si son code présente bel et bien des similitudes avec ceux de Petya et de sa variante PetrWrap, détectée, elle, en mars 2017. NotPetya possède d’autre part un point commun avec WannaCry : pour se diffuser au sein des réseaux avant de bloquer la machine infectée, il utilise le même outil, EternalBlue, développé par la NSA pour tirer parti d’une faille dans le système d’exploitation Windows de Microsoft, et divulgué en avril par le mystérieux groupe de pirates informatiques «Shadow Brokers». L’entreprise américaine avait pourtant corrigé cette vulnérabilité dès le mois de mars, mais les mises à jour n’ont pas nécessairement été faites partout.
Par ailleurs, indique Costin Raiu, NotPetya embarque un autre outil de la NSA exploitant une autre faille de Windows, EternalRomance, lui aussi rendu public par les Shadow Brokers. Là encore, le problème avait été corrigé par Microsoft. Plus préoccupant : le rançongiciel utilise également des outils d’extraction de mots de passe et d’administration à distance, afin d’exécuter le code malveillant sur des machines qui ne seraient pas vulnérables à EternalBlue et EternalRomance. Enfin, selon Kaspersky, NotPetya s’est propagé mardi matin par une autre voie, très particulière : un logiciel ukrainien de comptabilité et de fiscalité, MEDoc, utilisé par de très nombreuses entreprises du pays. «Le mécanisme de mise à jour a été saboté, pour distribuer le logiciel malveillant aux clients de MEDoc», explique Raiu. L’entreprise a démenti avoir subi cette mésaventure, mais comme le souligne Forbes, d’autres experts ont confirmé l’annonce de Kaspersky. C’est d’ailleurs la piste mise en avant par la police ukrainienne.
Un dernier vecteur de dissémination est évoqué, en France, par l’Agence nationale de la sécurité des systèmes d’information (Anssi). Dans la dernière version de son bulletin d’alerte, mis à jour dans la nuit de mardi à mercredi, le centre de veille de l'agence fait état de possibles «méthodes d’hameçonnage», par envoi de documents malveillants exploitant une vulnérabilité connue de la suite bureautique Microsoft Office. En tout état de cause, il s’agit bien d’un rançongiciel «à multiples capacités de propagation».
Qui a été touché ?
Ce sont d’abord des entreprises et organisations ukrainiennes qui ont été impactées. «Les banques éprouvent des difficultés à prendre en charge leurs clients et faire des opérations bancaires», a indiqué la Banque centrale d’Ukraine dans l’après-midi. Le métro de Kiev n’était plus en capacité d’accepter les paiements par carte bancaire, les panneaux d’affichage de l’aéroport ne fonctionnaient plus, et le site web du gouvernement était inaccessible. La compagnie nationale d’électricité Ukrenergo a elle aussi fait état d’une cyberattaque, mais a assuré que la distribution d’électricité n’était pas affectée. Onze hypermarchés Auchan dans le pays ont également été touchés. Et en fin d'après-midi, une porte-parole des autorités ukrainiennes a annoncé que les ordinateurs de la centrale nucléaire à l’arrêt de Tchernobyl, qui gèrent la mesure de la radioactivité sur le site, avaient été infectés, et que les techniciens assuraient manuellement cette surveillance à l’aide de compteurs Geiger.
De son côté, la banque centrale russe a fait état d’établissements financiers touchés par NotPetya. Dans le pays, le rançongiciel s’est aussi manifesté chez le géant du pétrole Rosneft, qui s’est dit victime d’une «puissante attaque informatique», sans impact majeur sur son activité, et chez l’entreprise de sidérurgie Evraz. En Europe, le transporteur maritime danois Maersk et le réseau britannique d’agences publicitaires WPP ont été impactés, de même que Nivea en Allemagne. Aux Etats-Unis, c’est le cas de l’entreprise pharmaceutique Merck, ou encore du cabinet d’avocats DLA Piper.
En France, Saint-Gobain a été la première victime déclarée. «Par mesure de sécurité, afin de protéger nos données, nous avons isolé nos systèmes informatiques», a indiqué en fin d’après-midi à Libération une porte-parole du groupe, se bornant à déclarer que le problème était «en cours de résolution». D’après un salarié de l’entreprise, la présence du rançongiciel s’est fait sentir en tout début d’après-midi. Il s’est d’abord manifesté par «un ralentissement de tout le système», puis par l’impossibilité d’accéder aux fichiers et aux dossiers. Avant que ne finisse par apparaître sur les écrans le message de rançonnage. Dans la journée, «la production a été arrêtée sur les chantiers reliés au réseau» de l’entreprise. Outre le géant des matériaux, la SNCF a indiqué au Parisien avoir été affectée, mais avoir «réussi à contenir la menace».
Pour l’heure, impossible d’évaluer précisément le nombre de machines infectées par NotPetya. En fin de journée, Kaspersky faisait état d’un chiffre, évidemment très partiel, de «2 000 attaques» parmi ses clients, principalement en Ukraine et en Russie, mais aussi en Pologne, en Italie, au Royaume-Uni, en Allemagne, en France et au Royaume-Uni. «Personne n’est vraiment épargné», juge Costin Raiu. Contacté par Libération, l’Office européen de police Europol a expliqué être «en train d’évaluer la situation, en lien avec les unités dédiées à la cybercriminalité en Europe».
Le «niveau de l'attaque» est-il «sans précédent», comme l'a déclaré dans la soirée le secrétaire d’Etat français au Numérique, Mounir Mahjoubi, en déplacement à New York ? Le diagnostic semble pour le moins prématuré. D’après Europol, la vague WannaCry avait fait «200 000 victimes». Or, comme le souligne le jeune expert britannique qui en avait accidentellement stoppé la propagation, connu sous le pseudonyme de MalwareTech, la logique de diffusion de ce nouveau rançongiciel n'est pas la même : «WannaCry, écrit-il sur son blog, a été probablement déployé sur un petit nombre d’ordinateurs et s’est ensuite propagé rapidement [via Internet], quand Petya semble avoir été déployé sur un grand nombre d’ordinateurs, et s’est propagé via les réseaux locaux.» Pour Costin Raiu, l’impact de NotPetya est, à ce stade, plus limité en volume, et les contaminations semblaient d'ailleurs ralentir en début de soirée. Ce qui ne présage en rien de la suite…
Qui peut être derrière NotPetya ?
C’est la question qui risque de faire phosphorer encore un bon moment les experts. Dans le cas de WannaCry, les soupçons ont fini par s'orienter vers Lazarus, un groupe de pirates informatiques déjà mis en cause dans l’attaque contre Sony en novembre 2014, et que les autorités américaines ont accusé d’être lié à la Corée du Nord. L’attribution de NotPetya promet sans doute d’être plus ardue encore. Comme le rappelle Costin Raiu, Petya et PetrWrap, avec lesquels ce nouveau rançongiciel présente des similitudes, se vendaient au marché noir : «cela veut dire que n’importe qui a pu les acheter» et s’en inspirer.
Pour autant, plusieurs éléments interrogent quant au caractère purement crapuleux ou non de la manœuvre. Notamment l’usage par les «rançonneurs» d’une adresse mail créée chez un fournisseur de messagerie allemand, qui a indiqué l’avoir bloquée dès le milieu de journée. Autrement dit, elle a vite été inutilisable. A contrario, la multiplicité des vecteurs de propagation ne relève pas du travail d’amateur… Et la diffusion de NotPetya via le logiciel MEDoc laisse à penser que l’Ukraine était spécifiquement visée. Le chef du Conseil de sécurité ukrainien, Oleksandre Tourtchinov, a d'ailleurs rapidement suggéré «une piste russe», quand bien même la Russie a elle aussi été affectée par le rançongiciel.
En France, le parquet de Paris a annoncé en début de soirée avoir ouvert une enquête de flagrance pour «accès et maintien frauduleux dans des systèmes de traitement automatisé de données», «entrave au fonctionnement» de ces systèmes et «extorsions et tentatives d’extorsion». Elle a été confiée à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC). Dans l’immédiat, l’Anssi renouvelle ses recommandations sur les pratiques à tenir face à une vague de rançongiciels : appliquer les correctifs de sécurité, faire des sauvegardes des données, mais aussi «limiter l’exposition du service de partage de fichiers sur Internet»
libération
Comme un air de déjà vu… L’apparition et la dissémination, ce mardi, d’un nouveau «rançongiciel» ou ransomware, baptisé NotPetya par l’éditeur russe de solutions de cybersécurité Kaspersky, rappelle le précédent WannaCry. Le 12 mai, ce logiciel malveillant avait frappé des entreprises et des institutions publiques dans plus de 150 pays, dont des hôpitaux britanniques, des banques russes, l’opérateur télécom espagnol Telefonica, ou le constructeur automobile français Renault. D’abord détecté en Ukraine, NotPetya s’est également propagé en Russie, dans plusieurs pays d’Europe et jusqu'aux Etats-Unis. Si le nombre d’utilisateurs touchés semble pour l’heure moins élevé que pour WannaCry, cette nouvelle vague de rançongiciel frappe, elle aussi, par sa viralité.
Que s’est-il passé ?
«Ce mardi, nous avons reçu des informations de plusieurs de nos clients et partenaires, nous indiquant qu’ils étaient frappés par une nouvelle variante de ransomware», explique à Libération Costin Raiu, qui dirige l’équipe d’analyse et de recherche de Kaspersky. Les utilisateurs affectés ont vu s’afficher sur leur écran un message leur indiquant : «Si vous voyez ce texte, c’est que vos fichiers ne sont désormais plus accessibles, parce qu’ils ont été chiffrés. Peut-être êtes-vous occupé à trouver un moyen de [les] récupérer, mais ne perdez pas votre temps.» Suit une demande de rançon – 300 dollars (264 euros) en bitcoins –, le numéro du compte sur lequel la verser, ainsi qu’une adresse mail, à laquelle l’utilisateur dont la machine a été «séquestrée» doit envoyer un identifiant.
Dans un premier temps, plusieurs spécialistes en sécurité informatique, dont Raiu, ont cru avoir affaire à une variante de Petya, un rançongiciel repéré en mars 2016. Notamment parce que ce nouveau ransomware infecte de la même manière la «zone d’amorçage» du disque dur, celle qui permet de lancer le système d’exploitation, et chiffre non pas les données elles-mêmes, mais un seul «composant critique», à savoir le «catalogue» de tous les fichiers stockés sur le disque. Ce qui permet de bloquer une machine beaucoup plus rapidement, parfois «en moins d’une minute», explique l’expert de Kaspersky.
Mais en fin de journée, l’entreprise a finalement estimé qu’il s’agissait d’«un nouveau ransomware, qui n’a jamais été vu auparavant», même si son code présente bel et bien des similitudes avec ceux de Petya et de sa variante PetrWrap, détectée, elle, en mars 2017. NotPetya possède d’autre part un point commun avec WannaCry : pour se diffuser au sein des réseaux avant de bloquer la machine infectée, il utilise le même outil, EternalBlue, développé par la NSA pour tirer parti d’une faille dans le système d’exploitation Windows de Microsoft, et divulgué en avril par le mystérieux groupe de pirates informatiques «Shadow Brokers». L’entreprise américaine avait pourtant corrigé cette vulnérabilité dès le mois de mars, mais les mises à jour n’ont pas nécessairement été faites partout.
Par ailleurs, indique Costin Raiu, NotPetya embarque un autre outil de la NSA exploitant une autre faille de Windows, EternalRomance, lui aussi rendu public par les Shadow Brokers. Là encore, le problème avait été corrigé par Microsoft. Plus préoccupant : le rançongiciel utilise également des outils d’extraction de mots de passe et d’administration à distance, afin d’exécuter le code malveillant sur des machines qui ne seraient pas vulnérables à EternalBlue et EternalRomance. Enfin, selon Kaspersky, NotPetya s’est propagé mardi matin par une autre voie, très particulière : un logiciel ukrainien de comptabilité et de fiscalité, MEDoc, utilisé par de très nombreuses entreprises du pays. «Le mécanisme de mise à jour a été saboté, pour distribuer le logiciel malveillant aux clients de MEDoc», explique Raiu. L’entreprise a démenti avoir subi cette mésaventure, mais comme le souligne Forbes, d’autres experts ont confirmé l’annonce de Kaspersky. C’est d’ailleurs la piste mise en avant par la police ukrainienne.
Un dernier vecteur de dissémination est évoqué, en France, par l’Agence nationale de la sécurité des systèmes d’information (Anssi). Dans la dernière version de son bulletin d’alerte, mis à jour dans la nuit de mardi à mercredi, le centre de veille de l'agence fait état de possibles «méthodes d’hameçonnage», par envoi de documents malveillants exploitant une vulnérabilité connue de la suite bureautique Microsoft Office. En tout état de cause, il s’agit bien d’un rançongiciel «à multiples capacités de propagation».
Qui a été touché ?
Ce sont d’abord des entreprises et organisations ukrainiennes qui ont été impactées. «Les banques éprouvent des difficultés à prendre en charge leurs clients et faire des opérations bancaires», a indiqué la Banque centrale d’Ukraine dans l’après-midi. Le métro de Kiev n’était plus en capacité d’accepter les paiements par carte bancaire, les panneaux d’affichage de l’aéroport ne fonctionnaient plus, et le site web du gouvernement était inaccessible. La compagnie nationale d’électricité Ukrenergo a elle aussi fait état d’une cyberattaque, mais a assuré que la distribution d’électricité n’était pas affectée. Onze hypermarchés Auchan dans le pays ont également été touchés. Et en fin d'après-midi, une porte-parole des autorités ukrainiennes a annoncé que les ordinateurs de la centrale nucléaire à l’arrêt de Tchernobyl, qui gèrent la mesure de la radioactivité sur le site, avaient été infectés, et que les techniciens assuraient manuellement cette surveillance à l’aide de compteurs Geiger.
De son côté, la banque centrale russe a fait état d’établissements financiers touchés par NotPetya. Dans le pays, le rançongiciel s’est aussi manifesté chez le géant du pétrole Rosneft, qui s’est dit victime d’une «puissante attaque informatique», sans impact majeur sur son activité, et chez l’entreprise de sidérurgie Evraz. En Europe, le transporteur maritime danois Maersk et le réseau britannique d’agences publicitaires WPP ont été impactés, de même que Nivea en Allemagne. Aux Etats-Unis, c’est le cas de l’entreprise pharmaceutique Merck, ou encore du cabinet d’avocats DLA Piper.
En France, Saint-Gobain a été la première victime déclarée. «Par mesure de sécurité, afin de protéger nos données, nous avons isolé nos systèmes informatiques», a indiqué en fin d’après-midi à Libération une porte-parole du groupe, se bornant à déclarer que le problème était «en cours de résolution». D’après un salarié de l’entreprise, la présence du rançongiciel s’est fait sentir en tout début d’après-midi. Il s’est d’abord manifesté par «un ralentissement de tout le système», puis par l’impossibilité d’accéder aux fichiers et aux dossiers. Avant que ne finisse par apparaître sur les écrans le message de rançonnage. Dans la journée, «la production a été arrêtée sur les chantiers reliés au réseau» de l’entreprise. Outre le géant des matériaux, la SNCF a indiqué au Parisien avoir été affectée, mais avoir «réussi à contenir la menace».
Pour l’heure, impossible d’évaluer précisément le nombre de machines infectées par NotPetya. En fin de journée, Kaspersky faisait état d’un chiffre, évidemment très partiel, de «2 000 attaques» parmi ses clients, principalement en Ukraine et en Russie, mais aussi en Pologne, en Italie, au Royaume-Uni, en Allemagne, en France et au Royaume-Uni. «Personne n’est vraiment épargné», juge Costin Raiu. Contacté par Libération, l’Office européen de police Europol a expliqué être «en train d’évaluer la situation, en lien avec les unités dédiées à la cybercriminalité en Europe».
Le «niveau de l'attaque» est-il «sans précédent», comme l'a déclaré dans la soirée le secrétaire d’Etat français au Numérique, Mounir Mahjoubi, en déplacement à New York ? Le diagnostic semble pour le moins prématuré. D’après Europol, la vague WannaCry avait fait «200 000 victimes». Or, comme le souligne le jeune expert britannique qui en avait accidentellement stoppé la propagation, connu sous le pseudonyme de MalwareTech, la logique de diffusion de ce nouveau rançongiciel n'est pas la même : «WannaCry, écrit-il sur son blog, a été probablement déployé sur un petit nombre d’ordinateurs et s’est ensuite propagé rapidement [via Internet], quand Petya semble avoir été déployé sur un grand nombre d’ordinateurs, et s’est propagé via les réseaux locaux.» Pour Costin Raiu, l’impact de NotPetya est, à ce stade, plus limité en volume, et les contaminations semblaient d'ailleurs ralentir en début de soirée. Ce qui ne présage en rien de la suite…
Qui peut être derrière NotPetya ?
C’est la question qui risque de faire phosphorer encore un bon moment les experts. Dans le cas de WannaCry, les soupçons ont fini par s'orienter vers Lazarus, un groupe de pirates informatiques déjà mis en cause dans l’attaque contre Sony en novembre 2014, et que les autorités américaines ont accusé d’être lié à la Corée du Nord. L’attribution de NotPetya promet sans doute d’être plus ardue encore. Comme le rappelle Costin Raiu, Petya et PetrWrap, avec lesquels ce nouveau rançongiciel présente des similitudes, se vendaient au marché noir : «cela veut dire que n’importe qui a pu les acheter» et s’en inspirer.
Pour autant, plusieurs éléments interrogent quant au caractère purement crapuleux ou non de la manœuvre. Notamment l’usage par les «rançonneurs» d’une adresse mail créée chez un fournisseur de messagerie allemand, qui a indiqué l’avoir bloquée dès le milieu de journée. Autrement dit, elle a vite été inutilisable. A contrario, la multiplicité des vecteurs de propagation ne relève pas du travail d’amateur… Et la diffusion de NotPetya via le logiciel MEDoc laisse à penser que l’Ukraine était spécifiquement visée. Le chef du Conseil de sécurité ukrainien, Oleksandre Tourtchinov, a d'ailleurs rapidement suggéré «une piste russe», quand bien même la Russie a elle aussi été affectée par le rançongiciel.
En France, le parquet de Paris a annoncé en début de soirée avoir ouvert une enquête de flagrance pour «accès et maintien frauduleux dans des systèmes de traitement automatisé de données», «entrave au fonctionnement» de ces systèmes et «extorsions et tentatives d’extorsion». Elle a été confiée à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC). Dans l’immédiat, l’Anssi renouvelle ses recommandations sur les pratiques à tenir face à une vague de rançongiciels : appliquer les correctifs de sécurité, faire des sauvegardes des données, mais aussi «limiter l’exposition du service de partage de fichiers sur Internet»
libération