NotPetya, Petyr, GoldenEye : un rançongiciel de destruction massive

Comme un air de déjà-vu… ou pas. Le logiciel malveillant qui se propage dans le monde depuis mardi 27 juin ressemble à un enfant terrible de Wannacry, le rançongiciel qui avait créé une panique générale début mai en infectant des dizaines, voire des centaines de milliers d’ordinateurs.

Ces deux menaces cyber prennent des ordinateurs en otage en bloquant l’accès à des fichiers cruciaux et imposent de payer une rançon pour en récupérer le contrôle. Ils exploitent aussi, tous les deux, au moins une faille de sécurité de Windows qui a, prétendument, été dérobée à la NSA (l’Agence national de sécurité américaine) en 2016.

Plus ciblé

Mais le nouveau logiciel malveillant - baptisé NotPetya, Petyr ou encore GoldenEye (selon l’enteprise de cybersécurité qui s’exprime) - présente de telles différences avec les précédents rançongiciels qu’on “peut se demander s’il ne s’agit pas d’un virus dont le but réel est de détruire des fichiers tout en se faisant passer pour un rançongiciel classique”, s’interroge Bogdan Botezatu, expert en cybersécurité pour la société roumaine Bitdefender.

Ainsi ce virus ne se propage pas aussi vite que ses prédécesseurs. Seuls quelques milliers d’ordinateurs tout au plus ont été infectés alors que lors de l’épidémie Wannacry, les victimes se comptaient par dizaines de milliers dès le premier jour. “La cyberattaque en cours est beaucoup plus ciblée”, précise le spécialiste roumain. Ce nouveau rançongiciel a tout d’abord frappé des banques et entreprises ukrainiennes, puis des grands groupes comme l'industriel français de matériaux de construction Saint-Gobain ou le géant danois de la logistique Maersk. Le fonctionnement d’infrastructures, comme le port indien de Nhava Sheva ou la centrale nucléaire de Tchernobyl, a aussi été perturbé. Wannacry cherchait à faire le plus grand nombre possible de victimes, alors que cette fois-ci, les cybercriminels semblent avoir une idée plus précise en tête.

8 000 dollars seulement

“L’attaque est moins vaste, mais beaucoup plus dangereuse pour les entreprises”, affirme Bogdan Botezatu. Alors que le commun des rançongiciels bloque seulement l’accès à un certain nombre de fichiers sensibles ou critiques, NotPetya fait bien plus encore puisqu’il verrouille l’ensemble du disque dur. Pour les internautes, le résultat est le même : ils n’ont plus accès à leurs données. Mais en milieu industriel ou commercial, ce n’est pas la même histoire. Le nouveau rançongiciel rend l’ordinateur infecté inutile, tandis que Wannacry n’empêchait pas le poste informatique touché de faire tourner des programmes en tâche de fond s’ils ne faisaient pas appel aux fichiers bloqués. La différence est de taille pour un ordinateur qui contrôle, par exemple, une fonction critique dans une centrale nucléaire. “C’est pourquoi une centrale électrique et un opérateur télécom en Ukraine ont dû interrompre leur fonctionnement”, souligne l’expert de Bitdefender.

Les auteurs de la cyberattaque en cours semblent s’intéresser davantage au fait de perturber le fonctionnement des entreprises qu’au gain financier. Pour l’instant, leur butin s’élève à 8 000 dollars en bitcoins, ce qui est encore plus modeste que les 20 000 dollars récupérés par les criminels à l’origine de Wannacry. Surtout, ils ont fait une erreur de débutants dans leur demande de rançon : pour payer, il faut envoyer toutes les informations nécessaires à une adresse email. Posteo, la société allemande qui gère l’adresse utilisée, a rapidement désactivé le compte des cybercriminels. Il n’y a, donc, à l’heure actuelle plus aucun moyen de payer la rançon… Pour Bogdan Botezatu, “faire une telle erreur lorsqu’on a mis au point une cyberattaque comme celle-ci peut sembler étrange”. Même à l'ONU, le directeur du programme de lutte contre la cybercriminalité Neil Walsh trouve que tous ces indices remettent en cause "le motif financier des auteurs".