Qu'est-ce que NotPetya, la nouvelle cyberattaque qui frappe le monde après WannaCry ?

Publication: Mis à jour:
CAPTURE
Twitter
Imprimer

TECHNO - Branle-bas de combat dans le milieu de la sécurité informatique. Une nouvelle cyberattaque s'est propagée mondialement ce mardi 27 juin. Le virus, baptisé NotPetya, est un ransomware, à l'instar de WannaCry, qui a touché des centaines de milliers d'ordinateurs en mai. Ce qui veut dire que les données de l'utilisateur sont chiffrées et impossible à utiliser, à moins de payer une rançon pour obtenir une clé de déchiffrement.

Dans un premier temps, Costin Raiu, expert pour la société russe de cybersécurité Kaspersky, a affirmé que NotPetya était une version modifiée d'un plus vieux virus, appelé Petya. Celui-ci s'était fait connaître en 2016. En plus de chiffrer les données personnelles de l'utilisateur, il bloquait également la totalité du disque dur.

Un nouveau virus mais très ressemblant

Un peu plus tard, la société a précisé dans un communiqué que le programme n'était pas une variante de Petya, mais un virus jamais vu auparavant (d'où le nom NotPetya, "pas Petya"). A 19 heures, environ 2000 ordinateurs avaient été corrompus. Kaspersky ne savait pas encore si le chiffrement utilisé pour bloquer les données pourra être percé.

Pour autant, les méthodes sont assez similaires avec Petya: le programme fait croire à une vérification du disque dur le temps de tout bloquer. Ensuite, un message d'erreur indique les instructions pour payer la rançon:

A 19h30, près de 4500 dollars avaient été versés en rançon, via la crypto-monnaie Bitcoin, malgré le fait que tous les experts exhortent les personnes piratées à ne jamais payer les agresseurs. D'ailleurs, la boîte mail sur laquelle il est demandé d'envoyer la confirmation de paiement a été fermée assez rapidement. Il est donc certain que les données ne pourront pas être débloquées en échange d'une rançon.

Ce dernier élément fait dire à Kevin Beaumont, spécialiste en sécurité informatique, que le but de NotPetya n'était même pas vraiment de gagner de l'argent. Selon lui, les pirates auraient choisi un autre hébergeur pour leur adresse afin de continuer le plus longtemps possible à accumuler de l'argent.

Il estime également que l'impact mondial sera pire que WannaCry. Mardi soir vers 18 heures, heure françaisehttp://www.leparisien.fr/high-tech/une-nouvelle-cyberattaque-frappe-l-europe-le-groupe-saint-gobain-touche-27-06-2017-7092270.php, la majorité des ordinateurs infectés étaient situés en Ukraine ou en Russie, même si des entreprises européennes, américaines et même françaises ont affirmé avoir été touchées, à l'instar de Saint-Gobain et, rapporte Le Parisien, de la SNCF ainsi que d'Auchan.

Une vieille faille de Windows de la NSA encore utilisée

Si le virus arrive à se répandre aussi vite, cela pourrait être du fait de l'utilisation d'une faille bien spécifique de Windows. De nombreux spécialistes de la cyber-sécurité partagent cette analyse, après avoir regardé le code à l'origine de NotPetya.

La faille en question, Eternal Blue, est celle utilisée par WannaCry, mais aussi par d'autres virus moins connus et moins visibles. Celle-ci, qui touche Windows, a été volée à la NSA. Début avril, un groupe de pirates, les Shadow Brokers, a en effet rendu publics des outils et virus informatiques détenus par l'agence d'espionnage américaine. Ils avaient déjà dévoilé une partie de leur prise de guerre en août dernier.

Un peu plus tôt, Microsoft avait déployé une mise à jour pour Windows afin de corriger la faille. Le problème, c'est que sur les milliards d'ordinateurs utilisant le système d'exploitation de Microsoft, tous n'ont pas effectué la mise à jour. Et il semblerait que même depuis l'épisode WannaCry, de nombreuses grandes entreprises n'aient pas mis à jour leur système.

LIRE AUSSI:La CNSS a fermé ses sites internet en prévention de la cyberattaque mondiale