Passer au contenu

Pourquoi il ne faut pas payer la rançon de NotPetya, le malware qui secoue la planète

La procédure mise en place par les pirates pour payer la rançon est particulièrement mal pensée et n’est déjà plus opérationnelle. Les victimes n’ont donc aucun intérêt à dépenser leur argent.

Le monde informatique est de nouveau victime d’une attaque mondiale de ransomware. Baptisée NotPetya (alias PetrWraper alias GoldenEye), elle touche d’ores et déjà des dizaines de milliers de machines dans de nombreuses entreprises.
Pour chaque ordinateur bloqué, les pirates demandent une rançon de 300 dollars, payable en bitcoin sur un portemonnaie unique. L’état de ce portemonnaie bitcoin peut être consulté en temps réel sur blockchain.info. A l’heure actuel, il a reçu plus de 40 transactions pour un total de 3,99 bitcoins. Soit plus de 8000 euros.

Pourtant, il est désormais totalement inutile de payer cette somme. Dans leur message, les pirates avaient communiqué une adresse mail ([email protected]) à laquelle la victime devait envoyer l’adresse de son propre portemonnaie ainsi qu’un identifiant qui était généré par le malware sur sa machine. Après vérification du paiement, les attaquants promettent d’envoyer en retour la clé de déchiffrement.

Erreur grossière

Le problème, c’est que l’adresse email des pirates ne fonctionne plus. Elle a été désactivée par l’hébergeur allemand Posteo. « Nous ne tolérons pas l’usage abusif de notre plate-forme », justifie l’entreprise dans une note de blog. Les pirates ne peuvent donc plus recevoir de confirmation de paiement de la part des victimes. Et celles-ci ne pourront pas recevoir de clé de déchiffrement.

Cette situation est d’ailleurs très étonnante. D’un côté, les pirates ont créé un malware plutôt sophistiqué, s’appuyant sur de multiples vecteurs de propagation et intégrant des outils provenant de l’arsenal volé de la NSA. De l’autre, ils font cette erreur grossière de ne s’appuyer que sur une banale adresse mail pour gérer tous les paiements.
Ceci dit, WannaCry n’était pas beaucoup mieux gérée. Dans cette attaque, les versements devaient être faits auprès de trois adresses Bitcoin, sans plus de détails. Du coup, les chercheurs en sécurité ont estimé qu’il était impossible pour les attaquants de distinguer les différents paiements et donc d’envoyer les clés de chiffrements.

Pourtant, il existe dans le monde du cybercrime des méthodes éprouvées pour gérer le paiement frauduleux de ransomware. Locky, par exemple, disposait d’une page spéciale hébergée dans le Dark Web sur laquelle la victime pouvait réaliser le paiement puis, dans la foulée, recevoir la clé de chiffrement (source : Bleeping Computer). Comparé à Locky, NotPetya fait vraiment très amateur de ce point de vue.

Payer est donc inutile, ce qui n’arrange pas forcément ceux dont les données sont désormais inaccessibles, même si un “vaccin” a d’ores et déjà été trouvé pour ceux qui n’ont pas encore été touchés.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN