L’essentiel

  • Wannacry est un logiciel malveillant qui a infecté des milliers d’ordinateurs à travers le monde, en mai.
  • Les Etats-Unis et l’Angleterre, appuyés par plusieurs pays, dont le Canada, le Japon et l’Australie, ont formellement accusé la Corée du Nord d’être à l’origine de la propagation de ce rançongiciel.
  • Plusieurs rapports d’enquête ont relié ce logiciel malveillant à un groupe de hackers dénommé Lazarus Group, soupçonné d’avoir mené plusieurs opérations de grande ampleur, et aux objectifs variés.

Le contexte

Le 12 mai, le logiciel malveillant WannaCry a infecté plus de 300 000 ordinateurs en quelques heures, dans 150 pays. En Angleterre, le rançongiciel, qui bloque l’utilisation des ordinateurs infectés et demande le paiement d’une somme d’argent pour en récupérer l’accès, a fortement perturbé plusieurs hôpitaux, entraînant un audit général sur la protection informatique du système de santé. Cette attaque « avait pour but de semer le chaos et la destruction. L’argent était un bonus », a affirmé mardi 19 décembre le conseiller à la cybersécurité de Donald Trump, Tom Bossert, en conférence de presse.

Des accusations formelles mais non étayées

En accusant publiquement, au nom de la Maison Blanche, le régime nord-coréen d’être derrière WannaCry, Tom Bossert n’a pas détaillé les éléments techniques qui amenaient les Etats-Unis à formuler de telles conclusions. Les renseignements américains ont analysé « non seulement l’infrastructure opérationnelle, mais aussi l’artisanat et les comportements observés lors de précédentes attaques », a affirmé Tom Bossert mardi, ajoutant qu’il ne s’agissait pas seulement « d’analyser le code » du logiciel malveillant, et que l’attaque était commanditée « par le gouvernement nord-coréen ».

D’autres pays, dont le Japon, l’Australie, et le Canada, se rangent derrière le rapport des Etats-Unis, a affirmé M. Bossert. En octobre, le ministre de la sécurité britannique, Ben Wallace, a également déclaré que le régime était probablement impliqué, tout en expliquant ne pas vouloir « entrer dans les détails ». La Corée du Nord avait vivement démenti, en mai, une telle implication.

Des traces difficiles à remonter

Les enquêtes sur les cyberattaques reposent généralement plus sur le régime du faisceau d’indices que du flagrant délit. Les traces laissées par un logiciel malveillant tel que WannaCry, et les serveurs avec lesquels il peut communiquer, sont très difficiles à exploiter : des outils utilisés précédemment par d’autres attaquants peuvent être récupérés ou modifiés, et de faux indices peuvent être laissés pour piéger les enquêteurs.

L’entreprise spécialisée en sécurité informatique Symantec a estimé qu’il était « très probable » que le logiciel WannaCry ait été conçu par un collectif de hackers dénommé Lazarus Group, en pointant des similarités entre des bouts de code du rançongiciel et des outils déjà utilisés par le groupe dans de précédentes opérations. Le lien entre WannaCry et le Lazarus Group a été avancé par plusieurs autres chercheurs en sécurité informatique, dans les semaines ayant suivi l’attaque.

Lazarus Group est désormais bien connu, puisqu’il est soupçonné d’être à l’origine du piratage de Sony Pictures, en 2014, un dossier dans lequel les Etats-Unis avaient publiquement accusé la Corée du Nord.