Découverte en 2016, la première variante de Petya se présente comme un simple ransomware. Le logiciel qui chiffre les données stockées sur un ordinateur et exige le paiement de l’équivalent de 300 dollars en Bitcoin pour annuler son action.
Le logiciel présente tout de même quelques caractéristiques alarmantes : contrairement à Cryptolocker qui ne chiffrait que les documents, Petya s’attaque directement à la partition système de la machine infectée, qui devient donc totalement inutilisable. Très vite, les éditeurs en sécurité alertent sur l’existence du logiciel et mettent à jour leurs outils de détection. L’urgence est bien réelle, mais Petya ne présente pas des capacités de réplication très avancées, ce qui limite la portée de l’infection. Certains s’inquiètent tout de même de cette action visant les couches bas niveau du fonctionnement d’un ordinateur : ils redoutent que le procédé inspire la création de nouveaux logiciels malveillants qui sauraient, eux, se propager à grande échelle.
De Petya à NotPetya
Leurs craintes se concrétisent un an plus tard, en mai 2017, quand le monde fait connaissance avec WannaCry. L’épidémie, fulgurante, éclipse Petya des mémoires.
Un mois plus tard, le virus fait son retour sur le devant de la scène, mais dans une nouvelle variante qui n’a plus rien à voir avec une demande de rançon à la petite semaine. L’écran appelant à envoyer des Bitcoins vers un portefeuille anonyme est toujours là, mais le virus ne se contente plus de chiffrer les données : désormais, il les détruit. Et surtout, le virus se propage à vitesse grand V, sans qu’une éventuelle instruction de son commanditaire puisse entraver son action. Il est maintenant surnommé NotPetya, une façon ironique de souligner la différence de braquet entre le petit virus de 2016 et cette arme de destruction massive.
Une fois entré, le virus fait des ravages
NotPetya cible principalement les réseaux d’entreprise. Il y entre par le biais d’un banal email piégé, puis se répand automatiquement sur l’ensemble des machines connectées grâce à plusieurs techniques d’infection combinées. Il reprend par exemple EternalBlue, la faille à partir de laquelle WannaCry s’est répandu, mais ne s’y limite pas, ce qui lui permet de contourner les défenses mises en place suite à l’épidémie de son prédécesseur.
Identifier le patient zéro
Une fois entré, le virus fait des ravages : le spécialiste du transport maritime Maersk, durement touché, estime par exemple les dégâts à 300 millions de dollars sur son seul périmètre. Petya frappe de nombreuses entreprises dans le monde entier, mais c’est en Europe de l’Est que l’impact est le plus important. L’attaque aurait-elle été ciblée comme le soupçonnent de nombreux observateurs ?
Le « patient zéro », celui par lequel l’épidémie démarre, finit par être identifié : tous les indices pointent vers les serveurs d’un éditeur ukrainien dont le logiciel MeDOC, dédié au calcul des taxes et des formalités douanières, équipe bon nombre d’entreprises. Microsoft explique par exemple avoir identifié une ligne de commande suspecte au sein de l’exécutable chargé de procéder aux mises à jour du logiciel.
Un an après l’attaque, le doute n’est guère permis : comme le relate Wired dans un long article dédié à l’attaque, l’épidémie est à mettre au crédit de hackers russes agissant dans le cadre des campagnes ayant visé l’Ukraine pendant plusieurs mois. Les retombées en ont cependant largement dépassé les frontières. La Maison-Blanche, qui menacera à plusieurs reprises Moscou de « conséquences internationales », estime que Petya a provoqué quelque 10 milliards de dollars de dégâts.
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.
