Un ordinateur touché par le virus « Petya », à droite, dans les bureaux de l’entreprise de sécurité informatique ukrainienne ISSP, à Kiev. | VALENTYN OGIRENKO / REUTERS

Uen semaine après la diffusion du virus « Petya », qui a perturbé le fonctionnement de plusieurs très grandes entreprises, la piste du « patient zéro » progresse. Et le faisceau d’indices à la disposition des enquêteurs, tant publics que privés, pointe de manière de plus en plus insistante vers une attaque visant spécifiquement l’Ukraine.

La police ukrainienne a publié, mercredi 5 juillet, des images d’une perquisition musclée au siège d’Intellect Service, une entreprise ukrainienne qui édite notamment M.E.Doc, un logiciel de comptabilité qui a, d’après les enquêteurs, été au moins le principal sinon l’unique vecteur de diffusion du virus, qui s’est diffusé à très grande vitesse en moins de vingt-quatre heures dans les entreprises.

Utilisé par environ quatre entreprises sur cinq en Ukraine, M.E.Doc revendique un million d’utilisateurs. Les experts ayant analysé le déploiement de Petya ont constaté que le virus avait été déployé par le biais d’une mise à jour du logiciel, ce qui lui avait permis de toucher simultanément un grand nombre d’entreprises.

Prise de contrôle du système de mise à jour

Une fois installé sur un ordinateur, Petya analysait le réseau local pour s’y déployer de manière très efficace, et chiffrait le contenu des ordinateurs touchés pour les rendre inutilisables. Le virus demandait alors une rançon, mais le consensus des chercheurs en sécurité informatique est que la partie « rançon » du logiciel était très mal conçue, laissant penser que le but premier du logiciel était de détruire des données et non d’obtenir un gain financier.

Dans un premier temps, Intellect Service avait nié avoir été à l’origine de la diffusion du virus – l’entreprise avait déjà été accusée, un mois auparavant, d’avoir diffusé un logiciel malveillant par le biais d’une précédente mise à jour. Mais l’analyse des serveurs de l’entreprise par Talos Intelligence, une filiale du géant américain Cisco qui avait proposé son aide à Intellect Service, montre que l’entreprise avait bien été piratée par un tiers.

Leurs conclusions sont sans appel : « Une tierce partie a pu voler les identifiants de connexion d’un administrateur chez M.E.Doc. Elle s’est alors connectée au serveur, a acquis les droits administrateurs, et a modifié les fichiers de configuration » du serveur, écrit Talos intelligence. Une fois le contrôle des serveurs obtenu, l’attaquant a alors effectué une série de modifications discrètes pour changer le fonctionnement du système de mise à jour automatique de M.E.Doc, et diffuser Petya aux clients d’Intellect Services.

Mercredi, le PDG de l’entreprise a dû reconnaître que tout son système informatique avait été compromis, tandis que le ministère de l’intérieur ukrainien annonçait qu’une deuxième tentative d’attaque informatique émanant des serveurs d’Intellect Services avait été stoppée, sans apporter de précision.

Pour Talos, « la confirmation du fait que M.E.Doc était le vecteur d’installation » permet de conclure que « les cibles de l’attaque étaient l’Ukraine et les organisations qui font des affaires avec l’Ukraine ». Plusieurs groupes internationaux ont été touchés par le virus, dans la plupart des cas connus par le biais d’une infection débutant dans leurs filiales ukrainiennes ou chez leurs fournisseurs dans le pays. Dès les premières heures de la diffusion du virus, l’Ukraine avait accusé la Russie d’être à l’origine du virus – des accusations démenties par Moscou, qui signalait que plusieurs entreprises russes, dont le géant Rosneft, avaient également été touchées par Petya.

Autre élément important pour les suites de l’enquête, le ou les auteurs du virus ont choisi, pour cette opération, de « griller des cartouches ». Pour propager Petya, « ils ont dévoilé à la fois leur porte dérobée dans le logiciel M.E.Doc et leur capacité à manipuler la configuration du serveur de mises à jour du logiciel », écrit Talos.