“Une épidémie de ‘rançongiciel’, est une fois de plus responsable du chaos informatique qui frappe les administrations du monde entier”, écrivait mardi 27 juin le New Scientist. Ce jour-là, de nombreuses entreprises, comme la française Saint-Gobain, le géant pétrolier russe Rosneft, une usine Cadbury en Australie, mais aussi des banques et des organisations gouvernementales partout dans le monde – à commencer par l’Ukraine – ont rapporté être victimes d’une cyberattaque paralysant leurs activités.
Cet assaut mondial survient six semaines à peine après celui qui a déjà fait des dégâts dans le monde entier et en particulier paralysé les services de santé britanniques. L’intervention d’un jeune expert en sécurité informatique avait pu rapidement entraver la propagation du logiciel malveillant baptisé WannaCry (“j’ai envie de pleurer”).
Le virus qui circule actuellement s’appuie sur un principe analogue à celui de WannaCry : il crypte les données d’un ordinateur et bloque son utilisation jusqu’au paiement d’une rançon. Dans un premier temps, les experts ont annoncé qu’il s’agissait d’un virus connu sous le nom de Petya. “Il est différent des autres logiciels d’extorsion [aussi appelés “rançongiciels” ou “ransomwares”] qui sévissent ces derniers temps”, rapporte le site spécialisé Malwarebytes.com.
Au lieu de chiffrer les fichiers un par un, il empêche l’accès au système complet en attaquant des structures de bas niveau sur le disque dur.”
“Mais comme WannaCry, Petya pourrait utiliser Eternal Blue, un outil créé par la NSA et mis en ligne par [le groupe de hackers qui se fait appeler] Shadow Brokers [les Courtiers de l’Ombre], qui exploite une faille de Microsoft”, explique le journal britannique The Telegraph. L’entreprise créée par Bill Gates avait pourtant apporté des correctifs pour combler cette faille en mars 2017, mais ces patchs n’ont visiblement pas été installés sur tous les ordinateurs sous Windows.
De son côté, la société spécialisée en sécurité informatique Kaspersky Lab estime qu’il s’agirait d’un tout nouveau logiciel d’extorsion, NotPetya, qui n’avait jamais circulé jusque-là. On le retrouve aussi sous les dénominations SortaPetya ou encore Petna.
Les experts du monde entier sont actuellement penchés sur l’analyse de la propagation du virus (quel que soit son nom) et sur la façon d’endiguer l’épidémie qu’il engendre, même si, pour la grande majorité des utilisateurs, une simple mise à jour de Windows devrait suffire à la freiner. “La manière dont les ordinateurs ont été infectés en premier lieu n’est pas encore claire, indique au Guardian Ryan Kalember, vice-président de la stratégie en cybersécurité de la société Proofpoint, mais il ne semble pas que ce se soit produit par l’intermédiaire des e-mails, comme cela s’est passé avec WannaCry.”
Un vaccin pour se prémunir de l’infection
D’après le site d’informations spécialisé en informatique Bleeping Computer, le chercheur en sécurité informatique Amit Serper a découvert un “vaccin” qui permet de se prémunir contre le virus. Pour ce faire, il suffit “de créer un simple fichier appelé perfc, placé dans le dossier C :\Windows, et de faire en sorte qu’il soit en lecture seule”, précise le site qui détaille les étapes pour créer manuellement ce vaccin et donne même un lien pour installer un “batch”, un fichier qui les réalise automatiquement.
“Cependant, prévient BBC News, si cette méthode se montre efficace, elle protège uniquement l’ordinateur individuel sur lequel le fichier perfc est placé. Jusqu’à présent, les chercheurs ont été incapables de trouver un interrupteur qui puisse désactiver complètement l’attaque.” La propagation du virus devrait néanmoins ralentir, “à moins que le virus ne soit modifié”, prévient le site de la chaîne britannique.
Compte tenu du faible montant récolté (seulement l’équivalent de 8 000 dollars en bitcoins au moment ou l’article de la BBC était mis en ligne le 28 juin), les experts pensent que cette attaque a pour but de faire régner le chaos, et non pas d’accumuler une fortune.
