Comment fonctionne Petya, le virus qui a touché de nombreuses très grandes entreprises ?
Comment fonctionne Petya, le virus qui a touché de nombreuses très grandes entreprises ?
Par Martin Untersinger
Ce virus s’est répandu à très grande vitesse en moins de vingt-quatre heures, et est plus évolué que son prédécesseur, WannaCry.
Après WannaCry, Petya. Pour la deuxième fois en quelques semaines, un « rançongiciel » (ransomware en anglais) s’est largement propagé sur Internet, rendant inutilisable de nombreux ordinateurs et perturbant lourdement le fonctionnement de plusieurs grandes entreprises.
Le code de ce rançongiciel a été disséqué par de nombreux experts et entreprises de sécurité informatique ces dernières heures, permettant de mieux comprendre la manière dont il fonctionne.
Que fait-il exactement ?
Petya est un rançongiciel visant les systèmes Windows : il rend indisponibles les données d’un ordinateur, qui ne peuvent être déverrouillées qu’en versant une rançon. Il s’agit d’une variation très modifiée d’une souche apparue au printemps 2016.
A la différence de WannaCry, Petya commence par s’attaquer à la toute petite partie du disque dur – qui recense tous les fichiers présents dans la mémoire d’un ordinateur – et la chiffre, les rendant inutilisables. Ensuite, il s’en prend à la partie du disque dur qui permet de lancer le système d’exploitation, le logiciel qui fait fonctionner l’ordinateur. Cette partie est modifiée de manière à ce que l’ordinateur ne puisse plus démarrer en utilisant le système d’exploitation prévu. Lorsqu’on allume l’ordinateur, c’est Petya qui se lance, et le rançongiciel fait son travail. Un message s’affiche alors, réclamant que soient envoyés 300 dollars en bitcoin, la monnaie électronique, pour obtenir la clé de déchiffrement.
Il est extrêmement déconseillé de verser la rançon : outre le fait que payer entretient les réseaux mafieux qui se cachent souvent derrière les rançongiciels, l’adresse e-mail qui servait aux auteurs de Petya à rentrer en contact avec les victimes a été désactivée par le fournisseur de messagerie, rendant tout versement parfaitement inutile.
Comment se propage-t-il ?
Les développeurs de ce logiciel ont mis beaucoup de soin aux fonctionnalités d’infection de Petya, qui utilise plusieurs méthodes de propagation dites « latérales », vers les ordinateurs appartenant au même réseau que la machine infectée.
Une fois installé sur un ordinateur, Petya va chercher à y obtenir les plein pouvoirs et repérer les autres appareils branchés sur le même réseau. Le rançongiciel va ensuite fouiller dans l’ordinateur qu’il a infecté pour récupérer des identifiants et des mots de passe qu’il va pouvoir ensuite réutiliser dans le réseau pour prendre le contrôle de davantage d’appareils et démultiplier sa propagation. Ensuite, à l’aide de fonctionnalités classiques de Windows utilisées pour gérer les réseaux, il va se transférer vers d’autres machines.
Outre cette fonctionnalité, il utilise aussi deux outils – EternalBlue et EternalRomance – volés à la NSA, la puissante agence de renseignement américaine, qui, en exploitant une faille dans un protocole permettant aux ordinateurs de se « parler » au sein d’un même réseau, permettent sa propagation de machine en machine. EternalBlue était d’ailleurs déjà utilisé par WannaCry.
L’utilisation de plusieurs méthodes d’infection expliquerait pourquoi certaines machines pourtant immunisées contre EternalBlue et EternalRomance, car ayant installé les mises à jour de sécurité correspondantes de Microsoft, soient quand même infectées par Petya.
Son mécanisme de propagation à l’intérieur d’un réseau d’une entreprise fait que les postes de travail classiques ne sont pas les seuls à succomber à Petya. Des ordinateurs plus centraux, plus sensibles, sont aussi atteints, comme les serveurs sur lesquels fonctionnent les sites Web. C’est pour cette raison que plusieurs sites du groupe Saint-Gobain étaient inaccessibles le matin du mercredi 28 juin, selon une source interne.
Comment arrive-t-il sur les réseaux ?
Si l’on sait comment Petya se déplace d’un ordinateur à un autre au sein d’un même réseau, dans une entreprise par exemple, on ne sait pas comment la première infection de ce réseau est effectuée. D’autant plus que, contrairement à WannaCry, les experts n’ont pas découvert de mécanisme permettant à Petya de sortir du réseau qu’elle a infecté. Plusieurs hypothèses ont été avancées par les experts.
Selon plusieurs sources, notamment l’unité de la police ukrainienne spécialisée dans le cybercrime, une mise à jour du logiciel de comptabilité ukrainien MeDoc aurait été corrompue. Dissimulé à l’intérieur, Petya aurait infecté les machines des internautes mettant à jour leur logiciel. Microsoft affirme même disposer de preuves. Une infection par le biais d’un logiciel de comptabilité très utilisé dans les entreprises ukrainiennes expliquerait pourquoi ce pays a été si durement touché par Petya. Son extrême viralité à l’intérieur des réseaux expliquerait de son côté pourquoi des entreprises dans le monde entier ont été touchées : par effet domino, une machine qui succombe à Petya a de grandes chances d’en infecter d’autres à son tour, et ainsi de suite.
De plus en plus d’indices pointent dans cette direction. Après avoir reconnu avoir subi une attaque, l’entreprise développant ce logiciel a rétropédalé et s’est défendue sur Facebook de toute compromission de ses systèmes. Elle y adopte une ligne de défense très similaire à un événement troublant survenu à la fin du mois de mai : l’entreprise niait déjà qu’une nouvelle version de son logiciel ait servi de vecteur à la propagation d’un autre ransomware, XData, apparu peu après la mise à jour de MeDoc. Maersk, le géant de la logistique et du transport maritime, frappé de plein fouet par le rançongiciel, utilisait très vraisemblablement MeDoc dans ses filiales en Ukraine, comme l’atteste une annonce d’emploi diffusée récemment par l’entreprise pour un poste de comptable basé en Ukraine.
Certaines versions de Petya ont pu parvenir à infecter ses victimes sous la forme d’un document piégé joint à un courriel. C’est notamment ce qu’évoque la police ukrainienne, sur Twitter. Selon le centre d’alerte de l’Agence nationale de sécurité des systèmes d’information (Anssi), l’infection pourrait être causée par une faille découverte il y a quelques semaines et touchant un format de fichier texte développé par Microsoft, RTF. Selon l’entreprise spécialisée en sécurité informatique FireEye, cette faille permet d’introduire un virus dans un fichier texte reçu par messagerie par la victime. Cette faille avait été corrigée par Microsoft, mais il est très fréquent que les mises à jour de sécurité ne soient pas immédiatement appliquées par les entreprises. Plusieurs experts ayant analysé Petya ont cependant affiché leurs doutes quant à une infection par courriel piégé.
Pas de « killswitch » ni d’outil de déchiffrement
Petya ne dispose pas de mécanisme d’arrêt similaire à celui qui a été découvert rapidement après l’apparition de WannaCry. En créant un simple site Web, des experts avaient pu largement entraver la propagation de WannaCry. Mieux codé, Petya ne peut pas être stoppé de la même manière. Certains experts ont cependant découvert qu’il était possible d’immuniser son système contre une future infection de Petya, en créant un simple fichier. C’est un remède qui ne fonctionne que sur la machine sur lequel il est appliqué et n’empêche pas Petya de se propager à d’autres ordinateurs.
A ce stade, aucun outil de déchiffrement n’a été découvert pour récupérer les données confisquées par Petya. Il avait fallu attendre quelques jours pour qu’une solution – partielle – ne soit trouvée pour WannaCry. « Le rançongiciel utilise un mécanisme de chiffrement standard et solide », écrivent par exemple les chercheurs de Symantec, estimant « peu probable » l’arrivée d’une solution de déchiffrement.