Virus informatique Petya : les réponses à vos questions
Virus informatique Petya : les réponses à vos questions
Par Damien Leloup, Martin Untersinger
L’équipe de Pixels a répondu à vos questions, le 28 juin, sur l’épidémie qui a touché de nombreux pays ces deux derniers jours.
Le virus Petya a touché de nombreuses grandes entreprises, en Ukraine, en France et dans le monde, en l’espace de vingt-quatre heures, perturbant le fonctionnement de plusieurs grands groupes. Tour d’horizon des principales questions qui se posent après la découverte de ce nouveau logiciel de racket, un mois après l’épidémie de son prédécesseur, WannaCry.
P-cake : Quels sont les effets de ce virus ?
Bonjour, pour l’utilisateur touché, les effets sont simples : l’ordinateur refuse de démarrer normalement, et la page d’accueil de Windows est remplacée par un écran demandant de payer la somme de 300 dollars pour déverrouiller la machine. Certains fichiers stockés dans le disque dur sont chiffrés de manière robuste, rendant impossible leur accès ou leur utilisation.
De manière moins visible, ce virus se diffuse aussi de façon très efficace sur l’ensemble du réseau auquel la machine est connectée, pour tenter d’infecter le plus d’ordinateurs possible. Dans certaines entreprises, le virus est également parvenu à toucher les serveurs gérant le site Internet – c’était notamment le cas pour Saint-Gobain, dont les différents sites sont toujours inaccessibles ce midi.
CherryTree : Bonjour, quelles différences majeures entre Petya et WannaCry ?
Les deux logiciels appartiennent à la même « famille » de virus, les rançongiciels (ou ransomware), qui demandent le versement d’une rançon pour débloquer l’accès aux fichiers ou à la machine. Mais Petya est un logiciel plus complexe, et mieux codé que son prédécesseur, de l’avis de tous les spécialistes de la sécurité informatique. Là où WannaCry utilisait une seule faille de sécurité, EternalBlue, pour se diffuser, Petya dispose de plusieurs méthodes de diffusion. A la différence de WannaCry, Petya ne dispose pas de mécanismes de propagation via Internet : il ne peut théoriquement pas « sortir » du réseau d’une entreprise.
Le verrouillage de Petya est également plus « dur » que celui de WannaCry : là où WannaCry chiffrait uniquement les documents, Petya s’attaque également à la partie du disque dur qui recense tous les fichiers présents sur l’ordinateur, les rendant doublement inaccessibles. Enfin, il fait en sorte de rendre impossible le démarrage du système d’exploitation habituel (en l’occurrence Windows).
Hugo : Bonjour, le virus attaque uniquement les entreprises, ou les « civils » sont aussi visés ?
Nous n’avons pas beaucoup vu de témoignages de particuliers concernés par cette infection, mais en théorie ils sont aussi vulnérables que les entreprises.
La prédominance des entreprises parmi les victimes s’explique très vraisemblablement par la très grande viralité de Petya au sein des réseaux d’ordinateurs (systématiques dans les entreprises). En revanche, il ne dispose pas de moyens de se propager sur Internet de manière autonome.
Kragrull : A-t-on des informations sur le mode de propagation du virus ?
Une fois que Petya a contaminé un ordinateur, il scanne le réseau alentours pour repérer d’autres machines à infecter. Par ailleurs, il tente de voir s’il peut trouver, sur le premier ordinateur, des identifiants et des mots de passe qu’il peut utiliser sur le réseau. Ensuite, il lui suffit de les utiliser pour infecter de nouveaux appareils. Il dispose également d’outils sophistiqués issus de la NSA, la puissante agence de renseignement américaine, qui lui permettent, dans certains cas, de contaminer d’autres ordinateurs du réseau sans identifiant ni mot de passe.
Ce qu’on ne sait pas, à l’heure actuelle, c’est comment le rançongiciel arrive dans le système informatique en premier lieu. Les soupçons des experts se portent actuellement sur MeDoc, une entreprise ukrainienne qui développe un logiciel de comptabilité très utilisé en Ukraine. Il est possible que la dernière version du logiciel contenait Petya, à l’insu de l’entreprise. Cela expliquerait pourquoi l’Ukraine est le pays le plus touché. La viralité de Petya à l’intérieur des réseaux des entreprises a fait le reste, notamment pour se propager hors d’Ukraine.
Pat33 : Les ordinateurs Apple, des particuliers ou des petites entreprises, sont-ils concernés ?
Non, Petya est un rançongiciel qui vise uniquement Windows.
H : Wannacry avait montré le manque de mise à jour logicielle dans les grandes entreprises, Petya confirme que peu de mesures ont été prises. Ne faudrait-il pas d’une manière ou d’une autre forcer les entreprises françaises à se protéger efficacement ?
C’est plus compliqué que cela. WannaCry utilisait exclusivement une faille pour se propager. Cette dernière avait été corrigée par Microsoft quelques semaines auparavant et ne concernait donc que les ordinateurs anciens ou pas suffisamment mis à jour.
Petya utilise aussi cette faille. Mais selon plusieurs experts, ce n’est pas ce mécanisme qui contribue le plus à sa diffusion, mais sa fonctionnalité d’élévation de privilèges (obtenir les pleins pouvoirs sur un ordinateur) et de recherche d’identifiants et de mots de passe (qui peuvent servir à compromettre des ordinateurs du même réseau sans avoir besoin de failles).
De manière générale, il faut toujours installer les mises à jour.
Bezls : Encore un malware qui se propage via du phishing… Les entreprises ne forment-elles pas leurs employés contre ce genre de risque ? L’autre moyen de propagation classique repose sur des retards dans les mises à jour Windows, c’est quand même dommage de se faire « avoir » par flemme de mettre à jour le parc informatique, non ?
Il n’est pas certain que le phishing ait joué un rôle prépondérant dans la diffusion de Petya. Par ailleurs, malgré les formations, le phishing exploitant la distraction et la naïveté humaine, il est parfois très difficile de le détecter et de le déjouer, surtout (et par définition) s’il est bien fait.
Ensuite, même des ordinateurs parfaitement mis à jour ont été touchés par Petya : si un ordinateur préalablement infecté stockait, même temporairement, des identifiants et des mots de passe permettant de se propager sur le réseau, nul besoin d’utiliser une faille. Dans le cas de Petya, le problème est aussi à chercher du côté de l’architecture des réseaux des entreprises, qui ne compartimentent pas toujours assez et qui donnent trop de droits à un trop grand nombre de machines.
Gretta : Pourquoi les antivirus ne voient-ils pas ce virus ? D’autant que la souche est connue (WannaCry).
WannaCry et Petya ne font pas partie de la même souche de rançongiciels. Cependant, Petya était déjà connu des experts et des antivirus. Mais la version qui a déferlé ces derniers jours est une version fortement modifiée de cette souche. Désormais, la plupart des antivirus détectent cette variation du rançongiciel, ce qui contribue vraisemblablement au ralentissement des contaminations.
Help : Bonjour, si on n’ouvre pas d’e-mails ou de pièces jointes douteuses, on ne peut pas être infecté ?
C’est une question complexe. Petya se propage au sein d’un réseau d’ordinateur de manière autonome, sans que les victimes n’aient besoin de cliquer sur une pièce jointe dangereuse. Mais pour un ordinateur personnel, si ce dernier est à jour, si vous utilisez de bons mots de passe, et que vous êtes vigilants sur les courriels que vous recevez, vous éviterez une part importante des ennuis.
Comment éviter d’être infecté par Petya ?
On ignore encore comment le virus Petya s’est précisément diffusé, mais les ransomware se propagent généralement via des pièces jointes de courriels, avant de se diffuser sur le réseau local. Il est fortement recommandé de ne pas ouvrir les pièces jointes provenant de courriels dont on ne connaît pas le destinataire, et plus généralement d’appliquer les mises à jour de sécurité de Windows, si elles ne sont pas automatiques. Il est aussi prudent de faire des sauvegardes sur des supports non connectés à un Internet, comme des disques durs externes.
Pour les ordinateurs ayant été infectés, l’Anssi, le garde du corps numérique de l’Etat français, recommande par ailleurs de ne jamais payer la rançon demandée, notamment parce qu’il n’est jamais garanti de recevoir une clé de déchiffrement. Il est conseillé de déconnecter immédiatement la machine infectée du réseau et d’attendre un correctif ou la publication d’un outil de déverrouillage.
F-L : Doit-on être inquiet pour notre épargne bancaire accessible par Internet ? Notamment les banques en lignes.
Non, la BNP Paribas a confirmé ce matin avoir été touchée, mais uniquement dans sa filiale immobilière. Aucune banque en ligne ne figure pour l’instant parmi la liste des victimes.
Pierr Charlo : Que faire en cas d’infection par un tel virus ? Qui prévenir ? A qui demander de l’aide pour récupérer son ordinateur (en perdant éventuellement des données) ?
Dans le cas de Petya, il est possible de limiter les dégâts si vous parvenez à débrancher électriquement l’ordinateur lorsqu’apparaît le tout premier message d’erreur. Les fichiers n’ont alors pas été complètement chiffrés par le virus, il est donc théoriquement possible de pouvoir les récupérer par la suite.
Si les fichiers ont déjà été chiffrés, il n’y a malheureusement pas grand-chose à faire, à part attendre en espérant qu’un outil de déchiffrement puisse être mis au point – cela avait été le cas pour WannaCry après quelques jours.
De manière plus générale, il est aussi recommandé de porter plainte au commissariat ou à la gendarmerie la plus proche.
Corsac : S’il y a infection, le plus simple c’est sans doute de tout réinstaller et de restaurer les données. Corollaire : faites des back-up !
Effectivement, en la matière, la prévention reste l’outil le plus efficace : il est recommandé de faire les mises à jour régulièrement, si possible de manière automatique, d’utiliser un antivirus, et de faire des sauvegardes de ses documents importants sur un support qui n’est pas connecté en permanence, comme un disque dur externe.
Malir : A-t-on des statistiques sur le nombre de victimes payant pour débloquer un virus ransomware ? Et sait-on dans quelle proportion payer est efficace pour éliminer le virus ?
Hier (mardi 27 juin), en fin d’après-midi, une quinzaine de personnes avaient payé pour débloquer leur machine. Il est désormais totalement inutile de le faire : l’adresse e-mail utilisée par les auteurs du programme pour recevoir les confirmations de paiement a été désactivée, il est donc certain que payer ne permettra pas de déverrouiller l’ordinateur. Plus généralement, il est toujours fortement déconseillé de payer, cela entretient un système de racket mafieux, et il n’y a jamais aucune garantie que cela permettra de récupérer ses données.
Flo : Quelles sont les entreprises françaises touchées, et quelles sont les conséquences actuelles ?
Bonjour Flo, vous trouverez une liste à jour des grandes entreprises françaises touchées ici. L’impact a été très variable d’une entreprise à l’autre, en fonction du moment où le virus a été découvert – Saint-Gobain, qui a été touchée très tôt, a notamment dû suspendre son système de courriels, et ses sites Web ne fonctionnent plus. L’entreprise expliquait ce matin que la situation revenait progressivement à la normale. D’autres entreprises sont parvenues à bloquer la diffusion du virus avant qu’il ne fasse trop de dégâts – la SNCF, notamment, a repéré des tentatives d’installation du programme mais affirme être parvenue à le stopper.
D’après plusieurs témoignages que nous avons pu recueillir, dans plusieurs entreprises, des salariés se sont retrouvés ce matin au chômage technique – notamment dans certaines filiales françaises du groupe britannique WPP, qui possède des agences de communication et de publicité dans l’Hexagone.
Alpha : WannaCry avait particulièrement touché la Russie. Cette fois-ci, on nous a dit que l’Ukraine a été une cible privilégiée. Y a-t-il quelque chose qui rend les pays de l’Est vulnérables, ou est-ce juste une coïncidence ?
C’est un peu différent selon qu’on parle de WannaCry ou de Petya. Dans ce dernier cas, l’Ukraine est très touchée, car elle était, semble-t-il, visée au premier chef par le rançongiciel. Il est aussi vrai que le parc informatique est plus ancien (et souvent moins bien mis à jour) en Europe de l’Est.
Sylvain K. : Les bénéficiaires de ces demandes de rançon ne peuvent-ils pas être identifiés ?
C’est très complexe et en matière de rançongiciels, ils le sont rarement. Une des pistes les plus intéressantes pour les enquêteurs consiste à suivre la trace de l’adresse bitcoin des pirates. Les paiements dans cette monnaie sont complètement traçables : s’ils décident de retirer ou transférer leurs bitcoins, les enquêteurs pourront tenter de remonter jusqu’à eux.
Fabien : Ma question va paraître simple ou simpliste. Mais quel est l’intérêt d’une telle attaque ? Ceux qui sont à l’origine de cette attaque, qu’en tirent-ils ?
Pas du tout, c’est une question complexe ! Comme expliqué plus haut, il est très difficile de savoir qui peut être à l’origine de ce virus – l’attribution est, en sécurité informatique, un processus complexe, long et parfois hasardeux. La majorité des ransomwares sont conçus dans le but simple d’extorquer de l’argent à leurs victimes – historiquement, ils étaient surtout produits par des groupes mafieux.
Dans le cas de Petya, et de WannaCry avant lui, il est possible que le motif financier ne soit pas le but premier – les spécialistes de la sécurité informatique pensent aujourd’hui que WannaCry a pu être créé par un groupe baptisé Lazarus, réputé lié à la Corée du Nord. Ce type de virus peut aussi servir de démonstration de force, par exemple.