ActualitésAmériqueEuropeMondialisation et enjeuxRussie et espaces post-soviétiques

Cyberattaque de NotPetya : Poison sur les ondes

Shares

Si les scénarios catastrophes imaginés tant par les organismes de recherche les plus sérieux que par le film Die Hard 4 n’ont pas eu lieu, le domaine de la cybersécurité passe tout de même dans les premiers rangs des menaces reconnues tant par les États, que les entreprises, et même les particuliers.

Petya est la deuxième cyberattaque  à l’échelle mondiale en deux mois, partant d’Ukraine.

En effet, depuis mardi 27 juin, une nouvelle attaque, initialement connue sous le nom de Petya, se propage sur internet. S’il est encore tôt pour en connaître précisément l’origine, l’étendue des dégâts et le potentiel destructeur de ce virus, quelques éléments peuvent être dégagés.

Tout d’abord, le virus de Petya semble fonctionner sur le même principe que le malware WannaCry, qui avait causé de grands dommages le mois dernier causant un un cyberchaos sans précédent. En effet, le point de départ de cette attaque est le même : il s’agit d’exploiter une faille révélée par le groupe de hackers anonymes, The Shadow Brokers, qui se nomme Eternal Blue. Cette faille, bien connue des services de renseignements américains avait toutefois fait l’objet d’un correctif notamment par le groupe Microsoft.

Toutefois, Petya ne se sert pas uniquement de cette faille précise mais cherche à en exploiter plusieurs, utilisant des commandes Windows comme le WMIC (Windows Management Instrumentation Commandline). De même, le mode de propagation du virus est différent : en effet, il cherche plus à infecter des réseaux intranet, c’est à dire que si vous n’êtes pas sur le même réseau qu’une machine infectée, vous n’avez que peu de soucis à vous faire. On peut donc dire qu’il est possible qu’il se répande beaucoup moins que WannaCry.

Ce qui fait dire que Petya est plus dangereux que Wannacry semble tenir de l’échelle de l’attaque. En effet, le mode de propagation du premier virus reposait sur un effet boule de neige : d’abord une centaine de machine amenées à en contaminer des millions. Cette récente attaque par contre a été lancée contre un très vaste nombre de machines. Néanmoins, il est encore tôt pour connaître le détail du code et l’intégralité de ses fonctionnalités. Il semble possible que Petya puisse passer d’un réseau local à un autre utilisant la faille EternalBlue, mais ceci n’est qu’une théorie.

Il faut donc se demander qui est pour l’instant attaqué, et par qui?

Il est évidemment encore beaucoup trop tôt pour avoir une liste exhaustive des cibles, toutefois il semble que l’attaque ait commencé en Ukraine, comme pour WannaCry et se propage dans l’Europe de l’Est, frappant également durement la Russie. Pour le moment, des sites périphériques à l’aéroport de Kiev ont été touchés, sans perturber le trafic aérien. Néanmoins, 150 entreprises dites stratégiques ont été touchées et les sites de nombreuses administrations ukrainiennes sont aujourd’hui inaccessibles. Plus préoccupant, le virus a montré sa capacité à attaquer un système de contrôle automatique de la radiation sur le site de l’ancienne centrale de Tchernobyl, forçant les autorités à revenir temporairement à des contrôles manuels.

Le virus se propage désormais hors d’Ukraine, touchant notamment Merck, géant pharmaceutique ou l’entreprise danoise Maersk. Même aux Etats Unis, une firme d’avocats très importante, DLA Piper, a demandé à ses employés d’éteindre leurs ordinateurs.

Il est donc difficile de savoir qui est responsable de ces attaques. Des personnalités politiques ukrainiennes comme Anton Guerachenko ont désigné la Russie comme responsable. Il n’y a néanmoins aucune preuve. L’identification de la faille rendant possible ces attaques, EternalBlue, est le fait d’un groupe nommé The Shadow Brokers. L’identité de ce groupe est inconnue. Le lanceur d’alerte Edward Snowden estime qu’il est d’origine russe, mais Jeffrey Carr, PDG de Taia Global, expert en cybersécurité, estime qu’il s’agit probablement d’un groupe d’origine occidentale. Quoiqu’il en soit, tous s’accordent à dire que la faille était connue de la NSA, qui préférait s’en servir plutôt que de la signaler au public afin qu’elle puisse être corrigée.

En somme, la vulnérabilité des systèmes aux cyberattaques va probablement rester une préoccupation majeure pour les Etats. En effet, si lancer une attaque conventionnelle suppose des moyens financiers, humains et matériels énormes, sans compter une grande technicité, les cyberattaques sont quant à elles totalement différentes. De nombreux groupes privés ou rattachés à des États peuvent utiliser ces moyens moins onéreux afin de peser de leur influence ou de tout simplement servir leurs propres intérêts. Or, tracer ces attaques est extrêmement compliqué, les hackers étant passés maître dans l’art d’utiliser les codes qui peuvent avoir des origines très variées afin de brouiller les pistes.

Shares

Naël DE LA SAYETTE

Consultant en diplomatie d'affaires et intelligence économique, Naël de La Sayette est spécialisé sur les questions moyen-orientales. Il a rejoint Les Yeux du Monde en 2016.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *