Ransomware Petya : une cyberattaque déguisée contre l’Ukraine ?

Depuis deux jours, le monde est secoué par une nouvelle attaque informatique par rançongiciel (ransomware), quelques semaines seulement après l’épisode WannaCry. Inspiré partiellement du ransomware Petya qui avait sévi en mars 2016 mais disposant de ses propres caractéristiques, ce nouveau fléau a reçu plusieurs surnoms dont les plus populaires sont Petya, NotPetya, Petrwrap ou ExPetr.

En l’espace de quelques heures, plusieurs milliers d’ordinateurs sous Windows ont été touchés dans 65 pays. L’Ukraine et la Russie ont été les plus affectées (respectivement 60 et 30 % des infections). Mais le virus s’est répandu en Allemagne, en Belgique, en Espagne, en France, aux Pays-Bas, au Royaume-Uni ainsi qu’au Brésil, en Inde, aux États-Unis ou encore en Australie.

Comme WannaCry, Petya ou NotPetya s’en prend principalement à des entreprises auxquelles il tente d’extorquer de l’argent. Parmi les victimes du rançongiciel figurent de très grandes sociétés un peu partout dans le monde : les compagnies russes Rosneft (pétrole) et Evraz (mine et sidérurgie), le géant du transport maritime et de la logistique Maersk, le groupe agroalimentaire Mondelez (États-Unis), l’agence de marketing WPP (Royaume-Uni), le transporteur TNT (Pays-Bas) mais aussi la firme pharmaceutique Merck.

De grandes entreprises françaises touchées

En Ukraine, ce sont des banques, des sociétés et des administrations qui ont été fortement touchées. Le système de surveillance des radiations de la centrale nucléaire de Tchernobyl s’est retrouvé hors service, obligeant le personnel sur place à se servir de compteurs manuels. 

Des entreprises françaises de premier plan ont également été touchées : Saint-Gobain, le groupe Auchan, la banque BNP Paribas, mais aussi la SNCF ainsi que Verallia (emballages alimentaires en verre). Malgré cette propagation internationale, il semblerait que Petya visait d’abord l’Ukraine que les experts considèrent comme l’épicentre de l’attaque. Selon les constatations de Microsoft, Petya s’est propagé via la mise à jour d’un logiciel de comptabilité d’origine ukrainienne MEDoc. Mais il existe vraisemblablement d’autres vecteurs d’infection tels que des courriels et des pages Web piégées.

Par ailleurs, des experts des sociétés de sécurité informatique Comae Technologies et Kaspersky Lab ont analysé le rançongiciel et sont parvenus à la conclusion que Petya ne serait pas un ransomware mais un « wiper », un logiciel malveillant dont le seul but est de détruire purement et simplement les données et de rendre les systèmes inopérants. Autrement dit, les victimes n’ont aucune chance de récupérer leurs données.

Les spécialistes en veulent pour preuve le fait que l’adresse E-mail fournie dans le processus de paiement de la rançon a été désactivée par le fournisseur Posteo et qu’aucune alternative n’a été mise en place. Au total, depuis le début de l’attaque, le montant total de l’extorsion se monte à l’équivalent de 9.000 euros, une somme dérisoire au vu du profil des victimes et de l’ampleur de l’attaque.

L’Otan va considérer l’espace cyber comme un domaine militaire

Pour Matt Suiche de Comae Technologies, Petya est un leurre pour détourner l’attention des médias sur de groupes de hackers nébuleux et ainsi masquer la trace d’un commanditaire étatique. « Les ransomware ainsi que les hackers sont en train de devenir les boucs émissaires d’assaillants œuvrant pour des États-nations. Petya est un wiper, pas un ransomware », écrit-il sur Twitter.

Mais alors, quel État serait derrière cette cyberattaque ? L’Ukraine n’a pas tardé à dénoncer un acte perpétré par la Russie, sans pour le moment apporter de preuves concrètes pour étayer ses accusations. Rappelons que le pays a déjà été victime d’une attaque informatique qui visait son réseau électrique fin 2015 et attribuée à Moscou.

Bien que le flou demeure sur les origines et les motivations de cette opération, la possible implication d’un État a fait réagir Jens Stoltenberg, le secrétaire général de l’Otan. S’exprimant devant la presse, il a annoncé que désormais, une cyberattaque pouvait justifier l’invocation de l’Article 5 du Traité de l’Atlantique Nord qui stipule qu’une attaque contre un pays membre est une attaque contre tous. Un processus a été engagé pour faire en sorte que l’espace cyber soit considéré comme un domaine militaire au même titre que les espaces terrestres, aériens et maritimes.

Ce qu’il faut retenir

• Le rançongiciel Petya ou NotPetya est beaucoup plus sophistiqué que WannaCry.
• Il a touché de grandes entreprises à travers le monde dont Saint-Gobain, BNP Paribas et la SNCF en France.
• L’épicentre de l’attaque est situé en Ukraine et des experts en sécurité estiment qu’il s’agit d’une cyberattaque déguisée menée en sous-main par un État.