Passer au contenu

Non, NotPetya n’est pas un ransomware… mais un logiciel de sabotage

Le déchiffrement des machines impactées est impossible. La demande de rançon n’était donc qu’un leurre pour camoufler un cybersabotage. La piste d’un acte politique, probablement réalisé par une agence gouvernementale, émerge.

Mauvaise nouvelle pour toutes les victimes de NotPetya. Les dernières analyses des chercheurs en sécurité montrent que ce malware est en réalité un logiciel de sabotage déguisé en ransomware. Les victimes ne pourront donc retrouver leurs données, à moins qu’un expert arrive à détecter une faille dans le processus de chiffrement.

Plusieurs indices prouvent que les auteurs de NotPetya n’ont jamais eu l’intention d’envoyer une quelconque clé de déchiffrement. Le premier concerne l’identifiant unique affiché dans le message de rançonnage et que la victime doit envoyer aux pirates après avoir effectué le paiement en bitcoins. En théorie, cet identifiant doit permettre aux auteurs de NotPetya d’identifier la victime. Il doit, par conséquent, contenir des informations sur les clés de chiffrement utilisées sur la machine en question. Mais selon les chercheurs de Kaspersky, il s’avère que cet identifiant est totalement aléatoire. « Les attaquants ne peuvent extraire une quelconque information de déchiffrement d’une telle suite de caractères aléatoire », soulignent-t-ils dans une note de blog.

Kaspersky – L’identifiant unique affiché est totalement aléatoire

De son côté, le chercheur en sécurité Matt Suiche a découvert que les données de la zone d’amorçage ne sont sauvegardées nulle part, mais simplement remplacées par autre chose. Le système de fichier du disque serait donc de toute façon irrécupérable. « La version actuelle de Petya a été réécrite pour être un wiper, et non un ransomware », souligne l’expert.

Ces deux analyses montrent que le message n’était en fait qu’un leurre et que cette attaque est en réalité un acte de sabotage, ce qui fait généralement penser à des motivations politiques. Et comme les modes de propagation du malware sont plutôt sophistiqués, il est probable que cette attaque soit l’œuvre d’une agence gouvernementale. La question que tout le monde se pose désormais : qui se cache est derrière ce cybersabotage mondial ?

L’ombre de la Russie plane sur cette attaque

Les yeux commencent à se tourner vers l’empire de Poutine. En effet, cette attaque a démarré en Ukraine qui dénombre le plus de victimes.  Elle a été réalisée en détournant le processus de mise à jour d’un logiciel de comptabilité (MEDoc). Or, selon The Grugq, un expert en sécurité informatique, ce logiciel était l’un des deux seuls logiciels approuvés par le gouvernement pour la gestion des taxes. « Une attaque lancée par le biais de MEDoc ne toucherait pas seulement le gouvernement ukrainien, mais aussi beaucoup d’investisseurs et d’entreprises étrangères (…)  C’est une attaque qui cible en fait toute entreprise qui fait du business en Ukraine », souligne l’expert dans une note de blog. Le meilleur exemple est le transporteur maritime Maersk qui utilisait également MEDoc et qui est l’une des plus grandes victimes de NotPetya. Evidemment, tout ceci ne prouve en rien que la Russie soit l’auteur de cette cyberattaque. Mais « il ne faut pas être météorologue pour voir d’où vient le vent », conclut The Grugq.

Le fait que l’entreprise russe Rosneft fasse partie des victimes vient toutefois contredire cette hypothèse. Mais là encore, The Grugq suggère que cela pourrait être un leurre. D’après l’agence TASS, Rosneft n’a souffert d’aucun dysfonctionnement et a pu poursuivre ses activités sans problème. « Il est étrange qu’ils étaient si peu sécurisés pour être infectés, mais si bien sécurisé pour immédiatement contrecarrer l’attaque. C’est un miracle ! », estime The Grugq.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN