Petya, NotPetya, ExPetr : les dessous de la cyberattaque mondiale
Un message publié sur le web le 4 juillet propose la clé de déchiffrement du virus contre le paiement de 100 bitcoins (l'équivalent de 229 000 euros).
Des cyberattaques ont touché simultanément plusieurs dizaines d'entreprises ukrainiennes et russes le 27 juin, selon le spécialiste de la sécurité informatique Group-IB. Parmi les organisations concernées, on relève des acteurs dans les transports, les médias, les télécoms et le secteur public. Egalement touchées, des banques locales ont éprouvé des difficultés à prendre en charge leurs clients. Les systèmes de contrôle de Tchernobyl ont par ailleurs été affectés.
Des entreprises et organisations ont aussi été ciblées dans d'autres pays européens (en Allemagne, au Royaume-Uni, en Italie, en Pologne...), et dans une moindre mesure en Amérique du Nord et en Australie. En France, la SNCF a été touchée. Mais aussi Saint-Gobain. L'information a été confirmée par le groupe qui précise avoir "isolé ses systèmes d'information" en vue de protéger ses données. Le géant publicitaire britannique WPP et le transporteur maritime danois Maersk ont aussi été touchés.
Un ransomware qui ne déchiffre pas les données
La source de ces cyberattaques ? Un virus déguisé en ransomware. "Il s'agit d'un code inspiré du rançongiciel WannaCry qui peut infecter des terminaux Windows plus anciens, remontant jusqu'à la version NT1 du système d'exploitation de Microsoft", commente Frans Imbert-Vier, PDG d'Ubcom, une agence d'audit et de conseil en cybersécurité. Le 12 mai dernier, WannaCry avait paralysé des centaines de milliers d'ordinateurs à travers le monde. En France, plusieurs usines du constructeur Renault avaient notamment été affectées.
Une faille dévoilée par Wikileaks
Un site web ukrainien de la région de Bakhmout aurait été utilisé initialement pour propager l'attaque via la méthode du "drive-by-download". "Les visiteurs ont été mis en contact avec un fichier malveillant déguisé en mise à jour Windows", indique-t-on chez Kaspersky Lab.
Microsoft avait publié le 14 mars dernier un bulletin (MS17-010) et une mise à jour de sécurité permettant de combler la faille EternalBlue. Une faille découverte initialement par la NSA... "L'agence l'avait gardée secrète jusqu'au moment où elle a été rendue publique sur Wikileaks", rappelle Frans Imbert-Vier. C'est là que les pirates s'en sont emparés.