Les mystères de « Petya », virus destructeur maquillé en rançongiciel
Les mystères de « Petya », virus destructeur maquillé en rançongiciel
Par Martin Untersinger
Il ressemblait à un rançongiciel. En réalité, il détruit purement et simplement les données. Les entreprises et les autorités vont tenter de remonter la piste de ce virus, qui a causé des dégâts très importants.
Depuis l’apparition il y a une semaine du virus informatique « Petya », des dizaines d’experts du monde entier se sont lancés dans un vaste jeu de piste pour en comprendre le fonctionnement et l’origine. Alors que les entreprises infectées commencent tout juste à reprendre une activité normale, cette quête dans les entrailles ce logiciel malveillant atypique est loin d’en avoir dissipé les zones d’ombres.
D’abord, Petya avançait peut-être masqué. Lorsqu’il déboule le 27 juin dans les réseaux de multiples entreprises, en Ukraine puis en Europe et dans le reste du monde, tout fait croire à un rançongiciel. Les données sont chiffrées, inaccessibles, et les ordinateurs infectés des victimes les somment de payer une rançon pour les récupérer. Cependant, de plus en plus d’experts estiment désormais qu’un des mécanismes utilisés par Petya pour paralyser l’ordinateur de ses victimes rend impossible toute récupération des données, même par les auteurs du virus, comme s’ils avaient fermé autour de l’ordinateur un cadenas pour lequel il n’existe aucune clé.
Un virus destructeur déguisé en rançongiciel
C’est le constat auquel sont parvenues plusieurs entreprises spécialisées. « Le chiffrement n’est pas réversible : il s’agit d’un wiper [un logiciel destructeur de données], pas d’un rançongiciel » explique au Monde Costin Raiu, directeur de l’équipe de recherche de l’entreprise spécialisée Kaspersky, qui a étudié le code de Petya. « [Petya] est conçu pour détruire plutôt qu’à ramener un gain financier », notent les experts de Talos Cisco. Plus prudent, mais sur la même ligne, le centre d’alerte de l’Agence nationale de sécurité des systèmes d’information (ANSSI) estime que Petya est un « logiciel malveillant prenant l’apparence d’un rançongiciel ».
Les experts divergent sur l’interprétation à donner à cette fonction destructive de Petya : était-elle voulue par les concepteurs du virus ou s’agit-il d’une erreur ? Loin d’être une argutie technique, cette distinction est fondamentale, puisqu’elle est le premier élément – nécessaire mais loin d’être suffisant – pour comprendre les motivations du ou des individus derrière Petya. S’agit-il de criminels, désireux de réaliser un véritable rançongiciel mais coupables d’erreurs de code ? Ou d’un groupe déterminé à créer une arme de sabotage ?
Sur ce point, le débat est encore vif parmi les professionnels de la sécurité informatique. « Ce n’est certainement pas une erreur » estime pour sa part Costin Raiu, citant la manière dont le chiffrement des données est mis en œuvre par « Petya ». Au-delà du code, le système retenu par les développeurs de « Petya » pour rançonner les victimes suggère que les gains financiers n’étaient pas leur priorité. Bien plus simpliste que nombre de rançongiciels classiques, il reposait, pour l’envoi des supposés codes de déverrouillage, sur une simple adresse e-mail désactivée dès les premières heures de l’attaque. « J’ai tendance à penser que cette attaque était un moyen très inefficace de gagner de l’argent, mais très efficace pour perturber les victimes et créer de la confusion » estime Gavin O’Gorman, de l’entreprise spécialisée Symantec.
Pour le Centre d’excellence de cyberdéfense coopérative de l’OTAN, « Petya a probablement été lancé par un acteur étatique ou un acteur non étatique agissant avec le soutien ou l’approbation d’un Etat. L’opération était trop complexe pour avoir été préparée par des pirates indépendants à des fins d’entraînement. Des cybercriminels ne sont pas derrière “Petya”, étant donné que la méthode de collecte de la rançon était si mal conçue qu’elle n’aurait même pas couvert le coût de l’opération. » Par ailleurs, certains chercheurs ont pointé la grande maîtrise technique et le soin apporté aux méthodes d’infection et de propagation du virus, interprété comme une priorité donnée à la destruction sur la rançon, et qui rendrait la thèse de l’erreur moins probable.
Mais si le ou les auteurs de « Petya » étaient conscients qu’ils développaient un système permettant de détruire des données, pourquoi avoir pris tant de peine à lui confectionner un déguisement très crédible de rançongiciel ? Et qui aurait intérêt à lancer une telle attaque ? A l’orée d’un long, fastidieux et très secret travail d’enquête par les autorités, des bribes de réponses commencent tout juste à émerger.
L’Ukraine accuse la Russie
Plusieurs entreprises ont trouvé ces derniers jours des ressemblances avec des familles de logiciels malveillants déjà observés par le passé. L’entreprise slovaque ESET affirme avoir trouvé un lien de parenté entre Petya et le groupe de pirates Telebot, lui-même un proche parent de Black Energy, responsable d’une attaque contre le réseau électrique ukrainien en décembre 2015. Kaspersky a elle aussi décelé des ressemblances entre le code de Black Energy et celui de Petya.
Qui se cache derrière Black Energy ? Leur mode opératoire et leurs cibles ont poussé de nombreux experts à les considérer comme travaillant pour la Russie. C’était par exemple le cas des Etats-Unis, qui ont rangé en janvier ce groupe dans la liste des opérations menées par le Kremlin. ESET et Kaspersky restent très prudentes sur la parenté entre ces groupes et Petya. « Cela ne doit pas être considéré comme un lien définitif », assure Kaspersky dit ne disposer que d’une « faible confiance » dans sa trouvaille. Tout en l’estimant suffisamment intrigante pour inciter la communauté des experts à se pencher sur la question.
Les services de police ukrainiens n’ont, comme à leur habitude, pas la même pudeur. « Le principal but de ce virus est de détruire des données importantes (…) pour semer la panique dans la population. Les données disponibles permettent de dire que cette attaque impliquait les mêmes groupes que lors des attaques de décembre 2016 [une autre offensive ayant visé les réseaux énergétiques ukrainiens]. (…) Cela témoigne de l’implication des services spéciaux de la fédération de Russie » ont accusé les services de sécurité ukrainiens. Un porte-parole du Kremlin a démenti, auprès de l’agence Reuters, ces « accusations infondées ».
Elements minces et indirects
Les entreprises ukrainiennes étaient en tout cas les premières visées par le virus Petya. Ce dernier a fait ses premières victimes parmi les entreprises ayant téléchargé une mise à jour piégée de MeDoc, un logiciel de comptabilité homologué par les autorités fiscales ukrainiennes. L’entreprise qui édite ce logiciel, piratée, aurait servi à son corps défendant de vecteur de transmission. Très virulent une fois infiltré à l’intérieur des réseaux des entreprises, Petya aurait touché de grands groupes internationaux par le biais de leurs filiales en Ukraine. Au final, 70 % des machines victimes de Petya sont situées dans ce pays. Par ailleurs – est-ce un symbole ? – l’infection a débuté le 27 juin, la veille du jour de la Constitution, qui est un jour férié dans le pays.
A ce stade, les éléments permettant d’attribuer à la Russie la création et la diffusion de « Petya » sont extrêmement minces et uniquement indirects. Si la cible et la méthode pourraient correspondre aux intérêts et à la stratégie russe dans le cyberespace, il faut noter que la Russie est le deuxième pays le plus touché par Petya. Par ailleurs, fait troublant, le virus était configuré pour rendre totalement inutilisable les ordinateurs ayant installé le logiciel antivirus développé par Kaspersky, le fleuron de la cybersécurité… russe.
Peut-être les enquêtes ouvertes dans divers pays, dont la France, apporteront-elles des réponses. Le FBI et son homologue britannique, la National Crime Agency, interviennent déjà auprès de l’entreprise MeDoc, en collaboration avec police ukrainienne.
Des dégâts plus importants que ne le reconnaissent les entreprises
Les dégâts occasionnés par une cyberattaque restent tabous pour les entreprises, particulièrement lorsqu’elles sont cotées en Bourse. L’épisode Petya en offre la démonstration : si les entreprises touchées la semaine dernière par le virus multiplient les messages rassurants, leur fonctionnement demeurait perturbé en début de semaine et les dégâts s’annoncent colossaux. Le nombre de victimes – quelques milliers dont 80 grandes entreprises selon Europol – est bien moins important que celui du rançongiciel WannaCry, le mois dernier. Mais Petya a fait plus de dégâts.
« J’ai eu ce matin au bout du fil un dirigeant d’entreprise qui n’avait plus d’informatique du tout. Il y a moins de victimes [que WannaCry] mais elles sont plus gravement touchées. Dans l’attaque actuelle, nous faisons face à des victimes qui ne sont pas bien du tout » a réagi Guillaume Poupard, le directeur de l’ANSSI auprès de l’Usine nouvelle. « Cela a tout touché, leurs sauvegardes, leurs serveurs, leurs postes de travail, tout. Tout a été pulvérisé et effacé » a confié à l’agence AP le patron d’une entreprise de sécurité informatique américaine chargé de reconstruire le système informatique d’une entreprise victime de Petya.
Des pans cruciaux des systèmes informatiques de l’industriel Saint-Gobain étaient encore à l’arrêt ce week-end, plusieurs jours après l’attaque, notamment « l’Active Directory », le système qui détermine les pouvoirs de chaque ordinateur sur le réseau et qui en forme l’épine dorsale. Un redémarrage était prévu ce lundi. Résultat, certains employés ont dû utiliser des comptes courriels Gmail temporaires et les ordinateurs de certains sous-traitants ont dû être soumis aux équipes informatiques pour traitement.
Après avoir totalement cessé de prendre en charge des marchandises pendant trois jours, le géant du transport maritime Maersk se félicitait d’un retour progressif à la normale prévu pour lundi. Plusieurs de ses terminaux ne tournaient cependant pas à plein régime dimanche, la situation la plus critique concernant son terminal du port de Rotterdam. Lundi, un cadre de l’aéroport de Kiev expliquait à l’agence AP qu’un tiers de ses ordinateurs n’étaient toujours pas fonctionnels. Mêmes difficultés du côté de DLA Piper, un des plus gros cabinets d’avocats du monde : il a fallu attendre dimanche, soit cinq jours après l’attaque, pour que les courriels soient réactivés.