Géopolitique

Article publié par le Huffington Post 

Avec l'attaque cyber du ransomware notPetya, l'Ukraine est remise sur le devant de la scène internationale. En effet, cette cyber attaque d'une ampleur impressionnante qualifiée d'un "niveau sans précédent" par le secrétaire d'État français au numérique Mounir Mahjoubi, a d'abord été détecté en Ukraine. C'est avec un tweet de Pavlo Rozenko, Vice-Premier Ministre, qu'elle a été mise en lumière. Mr Rozenko tweetait la photo d'un écran d'ordinateur indiquant que celui-ci reformatait son disque dur. Pour Kaspersky, le développement de l'attaque du 27 juin est comparable à celui d'un autre ransomware bien connu dans ces premières heures: Wannacry (aussi appelé Wannacrypt). Ce ransomware avait frappé en mai 2017 avec le même objet: crypter des données et ne donner aux victimes les éléments permettant de les décoder que contre une rançon payée en bitcoins, la monnaie dématérialisée. On estime que 60% des ordinateurs infectés par l'attaque d'aujourd'hui seraient en Ukraine, contre 30% en Russie, laissant 10% au reste du monde.

 

Techniquement, l'attaque connue actuellement serait une variante de Petya, un logiciel de rançon de la même famille que Mischa, et Golden Eye. Il infecte les ordinateurs et les systèmes probablement en utilisant une méthode de phising pour obtenir l'accès aux machines. Le plus souvent, un mail envoyé avec un document joint ou un lien qui, une fois ouvert, permet au worm de se répandre jusque dans le disque dur et de crypter les données, ne laissant plus apparaître qu'un écran rouge avec une tête-de-mort réclamant 0,99 Bitcoin soit environ 366 € pour obtenir la clé de déchiffrement des données.

 

Pour se répandre, il semblerait que Petya utilise Eternalblue, un exploit mis au point par la NSA, volé puis divulgué par le groupe de hackers Shadow Brokers. Cet exploit avait déjà servi pour le déploiement de Wannacry. NotPetya, comme son prédécesseur, utilise une faille de Windows qui avait été découverte, notamment par FireEye, en avril 2017. Cette vulnérabilité avait d'ailleurs été prise en compte via des updates mis en ligne par Windows. Ainsi ce sont les ordinateurs n'ayant pas fait les mises à jour de sécurité qui sont vulnérables. Il semble donc que la menace Wannacry n'ait pas été suffisamment prise au sérieux, n'incitant pas assez les entreprises à faire les mises à jour permettant de se protéger de ce risque qu'elles payent aujourd'hui le prix fort.

Lire la suite ici