Petya or NotPetya : la Russie et l’Ukraine au cœur d’une large cyberattaque

Mardi 27 juin, plusieurs dizaines de compagnies et institutions à travers le monde ont été victimes d’une cyberattaque de grande envergure. En première ligne : l’Ukraine et la Russie. Bilan.

Petya virus informatique 1
L’attaque a visé en premier lieu le secteur énergétique ukrainien. Crédits : DR

L’attaque a visé en premier lieu le secteur énergétique ukrainien. À la mi-journée, les deux géants nationaux de l’électricité, UkrEnergo et KievEnergo, annonçaient le blocage de leurs systèmes informatiques. Puis, ce fut le tour de la Banque nationale d’Ukraine, de la compagnie des télécommunications UkrTelecom, de l’aéroport de Kiev, de son métro et, même, de la centrale de Tchernobyl.

Parallèlement, en Russie, de grandes entreprises, telles le géant pétrolier Rosneft, Mondelez International, Mars et Nivea indiquaient également avoir été l’objet une cyberattaque majeure.

La société Group-IB, spécialisée dans le crime informatique et la cybersécurité, affirme que l’attaque aurait frappé plus de 80 entreprises en Ukraine et Russie.

Le spécialiste russe de la cybersécurité, Kaspersky Lab, indique pour sa part que, sur les quelque 2 000 ordinateurs infectés parmi ses clients en Ukraine, Russie, Pologne, Italie, Allemagne, France et au Royaume-Uni, 60 % se trouvaient sur le territoire ukrainien et 30 % en Fédération russe.

Petya or NotPetya

Petya virus informatique 2
Sur un écran noir, le virus exige le versement de 300 dollars en bitcoins. Crédits : DR

Ces infections présentaient toutes les mêmes symptômes : sur un écran noir, un texte en rouge exigeant le versement de 300 dollars en bitcoins en échange du déblocage des informations contenues dans les disques durs.

Un ransomware (ou rançongiciel), donc, qui n’est pas sans rappeler le virus WannaCry, qui, en mai 2017, avait infecté plus de 200 000 ordinateurs dans quelque 150 pays en l’espace de quatre jours.

Les premières conclusions des experts russes et ukrainiens laissent toutefois penser que cette attaque serait plus forte que la précédente. Le virus en cause se cacherait derrière le nom de Petya, un malware découvert début 2016.

Celui-ci, présent dans des fichiers joints à des e-mails, infecte les ordinateurs à l’ouverture de ces derniers, puis simule une vérification du disque dur Windows afin de chiffrer l’ensemble des données de la cible ainsi que son MBR, qui abrite le système d’exploitation, rendant la machine totalement inutilisable.

Kaspersky Lab, dans un communiqué relayé sur Twitter, affirme cependant que l’attaque, malgré les apparences, n’est le fait ni de Petya ni de sa variante PetrWrap, mais d’un nouveau ransomware, que le groupe a baptisé NotPetya. Sans s’étendre davantage sur le sujet, l’entreprise confirme que l’attaque était « complexe » et « utilisait EternalBlue », la faille de la NSA mise en lumière en avril par le groupe de pirates informatiques Shadow Brokers, qui permet de prendre le contrôle de n’importe quel PC.

À 20h45 (heure de Moscou), mardi, le porte-monnaie électronique des rançonneurs avait enregistré 22 virements, pour un montant total de 5 600 dollars en bitcoins, rapporte le quotidien russe Kommersant. Leur adresse électronique, créée chez un fournisseur de messagerie allemand, avait été bloquée dès la mi-journée.

Qui se cache derrière l’attaque ?

Petya virus informatique 3
Les rançongiciels sur la base desquels aurait été créé NotPetya sont disponibles sur le marché noir. Crédits : Pixabay

La question, bien évidemment sur toutes les lèvres, pourrait demeurer un certain temps sans réponse.

En effet, à la différence de WannaCry, attribué par la communauté informatique mondiale au groupe Lazarus et à la Corée du Nord, les rançongiciels Petya et PetrWrap, sur la base desquels aurait été créé NotPetya, sont disponibles sur le marché noir et peuvent donc être achetés par n’importe qui.

L’Ukraine, principale victime de l’attaque, n’a toutefois pas attendu les résultats des différentes enquêtes ouvertes à travers le monde pour, par la voix du directeur de son Conseil de sécurité intérieure Oleksandre Tourtchinov et du député Anton Guerachtchenko, connu pour ses positions radicalement antirusses, accuser Moscou ou la région rebelle du Donbass.

À l’inverse, Ilya Satchkov, fondateur du Group-IB, est persuadé que les pirates à l’origine de l’attaque ne se trouvent ni en Russie, ni en Ukraine : « Ce serait beaucoup trop dangereux, a-t-il déclaré à RBK avant de faire, à son tour, des suppositions : Ils sont peut-être en Corée du Nord ou en Chine. En tout cas, cela ne ressemble pas à du cyberterrorisme… Je dirais que c’est soit une banale escroquerie, soit un jeu économique malicieux interne, dans les sphères de l’État. »