'L'ultime cyber-arme d'espionnage' : la cyberattaque 'Petya' exploite un puissant outil de la NSA

Thomson Reuters

Des analystes de plusieurs entreprises de cybersécurité ont confirmé que la cyberattaque qui a frappée l'Europe hier utilise une puissante et dangereuse cyber-arme créée par la NSA (National Security Agency) qui a fuitée en avril dernier.

La cyberattaque, surnommée "Petya", a les mêmes caractéristiques que "WannaCry," le logiciel malveillant de type ransomware, qui a touché plus de 150 pays et paralysé les systèmes de transports et les hôpitaux. Petya utilise la faille "zero-day" EternalBlue de la NSA pour se propager.

Les exploits "zero-day" sont des outils qui profitent de vulnérabilités informatiques et que les hackers peuvent utiliser pour pirater des programmes et données. EternalBlue exploite une faille dans Microsoft Windows et faisait partie d'un lot de cyber-armes de la NSA que le groupe de hackers Shadow Brokers avait posté en ligne en avril dernier. 

Matthew Hickey, expert en sécurité, a dit à Ars Technica qu'il était "de loin le plus puissant cache d'exploits jamais sorti."

"Cela met en effet les cyber-armes dans les mains de n'importe qui pouvant les télécharger," ajoute Hickey. 

Greg Martin, PDG de l'entreprise JASK, a décrit EternalBlue comme "une clé universelle".

"Pendant de nombreuses années, tant que c'était encore secret, la NSA pouvait utiliser EternalBlue pour déverrouiller n'importe quel réseau informatique au monde," dit Martin. "C'était l'ultime cyber-arme d'espionnage."

Une variante d'EternalBlue avait été utilisée en mai dernier avec l'attaque WannaCry, qui avait été retardée puis stoppée lorsque Marcus Hutchins, un chercheur anglais en sécurité de 22 ans, avait trouvé et activé un "coupe-circuit" dans le code. Depuis, les hackers ont ajusté le code de WannaCry pour contourner un potentiel coupe-circuit et mener à bien une attaque globale beaucoup plus répandue, selon Politico.

Le code de Petya avait été écrit le 8 juin, selon Kaspersky Lab, une société de cybersécurité russe.

Le QG de Kaspersky Lab, entreprise de cybersécurité à Moscou. Thomson Reuters

Petya est plus sophistiquée que WannaCry, dit Alex Hamerstone, un expert en cybersécurité à TrustedSec.

"Il semblerait qu'elle utilise beaucoup d'éléments similaires à WannaCry, mais elle se diffuse et se reproduit d'une façon plus sophistiquée," dit-il. "Et cette attaque ne fait pas que coder les fichiers, elle les code à un niveau plus élevé."

L'entreprise de cybersécurité, FireEye, a dit au Financial Times que plutôt que de coder les fichiers, Petya prenait en otage le système entier jusqu'à ce que la rançon soit payée.

Le ransomware a touché plusieurs pays européens et entreprises, y compris la banque centrale ukrainienne et son aéroport principal; le géant du pétrole, Rosnef, appartenant à l'Etat russe; le groupe publicitaire anglais WPP; le géant pharmaceutique Merck; et la compagnie maritime A.P. Moller-Maersk.

Même si il n'est pas certain quelles seront les conséquences de Petya, "elle seront très probablement de grande ampleur," dit Hamerstone. "Elle détruit des systèmes et ferme des entreprises."

Le logiciel malveillant demande aux victimes une rançon en bitcoin pour qu'ils retrouvent leurs données. Hier après-midi, 27 avaient payé, selon Politico.

Après l'attaque, Merck à donné comme instructions à tous ses employés d'éteindre leurs ordinateurs de travail pendant une durée indéfinie au cours d'une "fermeture de l'ensemble de l'entreprise."

Martin dit que les conséquences de l'attaque étaient "vraiment effrayantes, parce que ces cyber-armes sont là, accessibles à tous. N'importe quel pirate informatique, organisation terroriste ou gouvernement extérieur peut prendre ces outils, en faire des armes et lancer sa propre attaque."

'L'Ukraine était ciblée'

Jusqu'ici, les experts ont constaté que l'Ukraine avait été la plus touchée, suivi de la Russie.

La banque centrale ukrainienne avait dit hier qu'un "virus inconnu" était coupable de ces attaques.

"A la suite de ces cyberattaques, les banques ont eu des difficultés avec leurs services clients et pour effectuer des opérations bancaires," a déclaré la banque.

Une déclaration a aussi été faite sur le compte Twitter officiel du pays: "Certaines de nos agences gouvernementales et entreprises privées ont été touchées par un virus. Pas de panique, nous faisons appel à nos meilleurs efforts pour résoudre le problème."

Petya a aussi forcé l'usine ukrainienne de Tchernobyl à passer à un contrôle manuel des radiations. 

Martin dit que bien que l'Ukraine avait été la plus durement touchée, elle n'était "pas plus vulnérable que d'autres pays comme les États-Unis, le Canada ou le Royaume-Uni."

Au lieu de cela, il pensait qu'à cause de son climat politique difficile, "l'Ukraine serait utilisée par les mauvaises personnes comme terrain d'essai de cyber-armes au cours des dernières années."

Vladimir Poutine lors d'une interview avec Megyn Kelly de NBC. Sputnik Photo Agency/Reuters

En 2015, une énorme cyberattaque sur le réseau électrique du pays avait coupé l'électricité de presque 250.000 ukrainiens. Les experts en cybersécurité ont relié cette attaque à des adresses IP venant de Russie. Depuis, Andy Greenberg du magazine Wired, a rapporté la semaine dernière que l'Ukraine avait vu un grand nombre de ses entreprises et agences gouvernementales touchées par des cyberattaques "en succession rapide et impitoyables".

L'Ukraine est maintenant le terrain de jeu où pourrait bien se dérouler une cyber-guerre, selon Greenberg. Deux attaques séparées sur le réseau électrique du pays faisaient partie d'une "guerre éclair digitale" qui a été lancée contre l'Ukraine depuis les trois dernières années.

"Vous ne pouvez pas vraiment trouver un endroit en Ukraine où il n'y a pas eu d'attaques," dit Kenneth Geers, un ambassadeur de l'OTAN sur la cybersécurité à Wired.

Il n'est pas certain quelle est l'origine de la cyberattaque d'hier.

"Dans des cas comme celui-ci et l'attaque WannaCry, on peut voir que de mauvaises personnes, qui qu'elles soient, peuvent constamment augmenter les enjeux et la sophistication des dommages et pertes," dit Martin.

Il ajoute que "c'est un problème de libre accès et d'être capable d'infecter n'importe quelle machine dans le monde."

L'attaque WannaCry de mai dernier était liée au gouvernement nord-coréen, "et même si les nord-coréens sont bien organisés, ils sont connus pour faire beaucoup d'erreurs quand on voit les attaques qu'ils ont lancé par le passé," dit Martin.

Cependant, si on trouve que l'origine de Petya vient de hackers avec des liens en Russie, "nous pouvons nous attendre à une attaque bien plus sophistiquée et à plus grande échelle."

Version originale: Sonam Sheth/Business Insider

Vous avez apprécié cet article ? Likez Business Insider France sur Facebook !

Lire aussi : Des entreprises de toute l'Europe sont victimes d'une cyberattaque

VIDEO: Seuls 60% d'une vache sont utilisés comme nourriture — voici à quoi servent les 40% restants