par Amy Wallace | 0 min | 3 juillet 2017

L’at­­taque

Une Mercedes grise quitte l’ave­­nue Solo­­mienska pour filer vers le centre de Kiev par la rue Mekha­­niz­­to­­riv. À 8 h 14, ce mardi 27 juin 2017, la circu­­la­­tion est dense dans la capi­­tale ukrai­­nienne. Alors que le véhi­­cule termine son virage, il est soudain pulvé­­risé à plusieurs dizaines de mètres à la ronde par une violente explo­­sion. Des débris retombent comme des météo­­rites sur la chaus­­sée. « La scène du crime laisse à penser qu’il s’agit d’un acte de terro­­risme plani­­fié », déclare le porte-parole du minis­­tère de l’In­­té­­rieur, Artem Shev­­chenko, quelques heures plus tard. Une thèse confor­­tée par le profil de la victime.

Crédits : Twit­­ter

Tué dans l’ex­­plo­­sion, Maksim Shapo­­val travaillait pour les services de rensei­­gne­­ment ukrai­­nien. À ce titre, il a pris part aux combats contre les sépa­­ra­­tistes du Donbass et leurs parrains russes, dans l’est du pays. Ajouté à l’an­­nexion de la Crimée, au prin­­temps 2014, ce conflit donne à l’an­­cienne répu­­blique sovié­­tique une raison de suspec­­ter Moscou. En fait de rela­­tions diplo­­ma­­tiques, les deux États n’échangent plus que des accu­­sa­­tions. Quand, quelques heures après l’at­­ten­­tat, une série de socié­­tés ukrai­­niennes a été « frap­­pée par un virus », d’après le gouver­­ne­­ment, les regards se sont à nouveau tour­­nés vers l’est. Par l’in­­ter­­mé­­diaire d’un logi­­ciel de comp­­ta­­bi­­lité natio­­nal, MEDoc, l’at­­taque infor­­ma­­tique s’est répan­­due dans les systèmes de l’ad­­mi­­nis­­tra­­tion, de compa­­gnies produc­­trices d’éner­­gie, d’aé­­ro­­ports et même de super­­­mar­­chés. Elle a aussi affecté, entre autres, le trans­­por­­teur mari­­time danois Maersk, le réseau britan­­nique d’agences publi­­ci­­taires WPP, les bureaux alle­­mands de Nivea, l’en­­tre­­prise phar­­ma­­ceu­­tique améri­­caine Merck et le Français Saint-Gobain. Sur chaque ordi­­na­­teur est apparu un même message annonçant que le chif­­fre­­ment de données les rendaient inac­­ces­­sibles, sauf à payer une rançon d’en­­vi­­ron 300 dollars. Baptisé ransom­­ware (ou rançon­­gi­­ciel), ce type de programme malveillant est une arme finan­­cière redou­­table. « Du point de vue de l’in­­ter­­naute, un nouveau disque dur coûte­­rait envi­­ron 400 dollars alors que les hackers demandent entre 100 et 300 », explique Heman­­shu Nigam. « Il vaut donc mieux les payer et récu­­pé­­rer ses infor­­ma­­tions que de devoir tout recom­­men­­cer. » Fonda­­teur de SSP Blue, la plus impor­­tante société de conseil en sécu­­rité numé­­rique au monde, Heman­­shu Nigam souffle à l’oreille des grandes entre­­prises comme des gouver­­ne­­ments. Il a déjà œuvré auprès de Disney Inte­­rac­­tive Studios, des Nations Unies et de l’ad­­mi­­nis­­tra­­tion Obama. Mais cette fois, régler la note aurait été vain, prévient le hacker Matt Suiche, fonda­­teur de la société de cyber­­sé­­cu­­rité Comae Tech­­no­­lo­­gies. D’abord présenté comme une nouvelle version de Petya, un logi­­ciel diffusé en 2016, l’in­­fec­­tion « est un wiper et non un ransom­­ware », recadre-t-il. « Son but est de nuire, pas de gagner de l’argent. » Au lieu d’être chif­­frées et donc récu­­pé­­rables, les données sont simple­­ment suppri­­mées, analyse-t-il. S’il est encore souvent appelé Petya, le virus a été renommé « NotPe­­tya ». L’argent ne serait donc pas la cause du sinistre. « C’est arrivé au moment où une série d’in­­ci­­dents a eu lieu, dont l’as­­sas­­si­­nat d’un agent de rensei­­gne­­ment ukrai­­nien et plusieurs mois après l’at­­taque infor­­ma­­tique contre le système d’ali­­men­­ta­­tion élec­­trique du pays », insiste Matt Suiche. En décembre 2015, trois socié­­tés de distri­­bu­­tion d’éner­­gie ont été la cible de la première cybe­­rat­­taque réus­­sie contre un réseau de cette impor­­tance. La société de cybe­­res­­pion­­nage améri­­caine iSight Part­­ners a accusé le groupe de hackers russe Sand­­worm.

Crédits : Ulyces.co

Dans le cas de NotPe­­tya, le centre de cyber­­dé­­fense de l’OTAN est persuadé de la respon­­sa­­bi­­lité d’un acteur étatique. « Des cyber­­cri­­mi­­nels ne sont pas derrière cela étant donné que la méthode de collecte de la rançon est rudi­­men­­taire. Le montant de la rançon ne couvri­­rait même pas le coût de l’opé­­ra­­tion », écrit-il dans un commu­­niqué de presse. D’après la société de sécu­­rité infor­­ma­­tique Kaspersky, la clé déli­­vrée à un inter­­­naute pour récu­­pé­­rer ses données n’est d’au­­cune utilité. Elle est géné­­rée de manière aléa­­toire, ce qui laisse suppo­­ser que les hackers sont inca­­pables d’opé­­rer le déchif­­frage. L’adresse e-mail à laquelle elle doit être envoyée pour ce faire a de toute manière été suppri­­mée. « Un groupe très orga­­nisé avait inventé Petya pour gagner de l’argent », consi­­dère Heman­­shu Nigam. « Mais je pense qu’un autre groupe s’en est saisi et l’a trans­­formé en une attaque malveillante pour d’autres raisons. Quelqu’un l’a modi­­fié de sorte que vous ne puis­­siez pas déchif­­frer les données même si vous payez. » En plus de NotPe­­tya, l’Ukraine a aussi été atteinte par un clone de WannaC­­rypt, un rançon­­gi­­ciel ayant intoxiqué plus de 300 000 ordi­­na­­teurs en mai 2017. Mais dans un cas comme dans l’autre, « ce n’était pas une attaque directe de la Russie contre l’Ukraine », tempère Nigam. « Si c’était le cas, le gouver­­ne­­ment russe aurait frappé beau­­coup plus fort et aurait fait davan­­tage de dégâts. Au vu du profil des victimes, il y avait un désir d’en­­dom­­ma­­ger des multi­­na­­tio­­nales. » D’ailleurs, le pétro­­lier d’État russe Rosneft n’a-t-il pas lui-même été attaqué ? Comme WannaC­­ryt, NotPe­­tya exploite Eter­­nalB­­lue, un programme déve­­loppé par la NSA qui lui a échappé. Il permet d’ex­­ploi­­ter une faille de sécu­­rité de Windows pour propa­­ger une attaque à grande échelle, augmen­­tant la capa­­cité de nuisance des ransom­­wares. Ce qui explique pourquoi on commence enfin à s’in­­té­­res­­ser à un programme vieux de près de trente ans.

Crédits : Ulyces.co

PC Cyborg

« Le docteur Popp a été empoi­­sonné. » Ce jour d’avril 1989, le message résonne dans l’aé­­ro­­port Schi­­pol d’Am­s­ter­­dam. En tran­­sit entre le Kenya et les États-Unis, un passa­­ger ne cesse de crier son angoisse aux agents de contrôle. Il l’a même grif­­fon­­née sur la valise d’un autre voya­­geur. Personne n’a empoi­­sonné le biolo­­giste améri­­cain Joseph Popp, mais il n’est pas en parfaite santé pour autant. Décrit comme en « état de folie aiguë », l’homme qui parle de lui-même à la troi­­sième personne s’en tire avec une simple fouille. Pour l’ins­­tant. Sur la base de l’au­­to­­col­­lant « PC Cyborg » trouvé parmi ses affaires, il est arrêté le 2 février 1990 par la police améri­­caine. Pour tout domi­­cile, PC Cyborg possède une boîte aux lettres au Panama. C’est là qu’a­­vant la créa­­tion du world wide web, les victimes du premier ransom­­ware de l’his­­toire devaient envoyer leur argent. Entre le 7 et le 11 décembre 1989, 20 000 personnes ont reçu une enve­­loppe conte­­nant une disquette de « rensei­­gne­­ments intro­­duc­­tifs sur le Sida ». Envoyée depuis une société fantôme basée à Londres, la Ketema & Asso­­ciates, celle-ci donne accès à « un logi­­ciel inter­­ac­­tif pour l’édu­­ca­­tion à la préven­­tion du Sida ». Ces conseils sont censés pouvoir « sauver la vie » aux patients et asso­­cia­­tions de patients qui les reçoivent. En réalité, elle contient une autre infec­­tion : un programme qui chiffre les données et propose de les restau­­rer contre une rede­­vance annuelle de 189 dollars. Pour une part, les desti­­na­­taires sont des abon­­nés du maga­­zine anglais PC Busi­­ness World. Les autres figurent sur la liste des parti­­ci­­pants à la quatrième Confé­­rence inter­­­na­­tio­­nale sur le sida, orga­­ni­­sée l’an­­née précé­­dente à Stock­­holm par l’Or­­ga­­ni­­sa­­tion mondiale de la santé (OMS). À cause de la disquette envoyée par Joseph Popp, une orga­­ni­­sa­­tion italienne travaillant sur le sujet perd 20 années de recherches sur une épidé­­mie qui connaît alors un pic inquié­­tant, le nombre de cas rapporté dépas­­sant 100 000 pour la première fois en 1989. Auteur d’une thèse sur l’évo­­lu­­tion à Harvard, Joseph Popp est lui-même engagé dans la lutte contre le sida en tant que cher­­cheur et consul­­tant pour l’OMS au Kenya.

Il faut attendre la démo­­cra­­ti­­sa­­tion des e-mails pour que les ransom­­wares fassent parler d’eux.

Après son arres­­ta­­tion, le « savant fou » présenté par la presse prétend d’ailleurs qu’il voulait lever des fonds pour aider la recherche indé­­pen­­dante et les asso­­cia­­tions. Complo­­tiste achevé, il explique que « les gouver­­ne­­ments du tiers monde » dissi­­mulent sciem­­ment à leur popu­­la­­tion les tech­­niques de protec­­tion contre la mala­­die pour contrô­­ler la crois­­sance démo­­gra­­phique. Quant à l’OMS, elle les proté­­ge­­rait de crainte d’avoir inoculé la mala­­die en Afrique par des vacci­­na­­tions. Des délires qui valent au scien­­ti­­fique, consi­­déré comme dément, d’être relâ­­ché par la justice. Six ans après la disquette de Popp, les expé­­riences des infor­­ma­­ti­­ciens améri­­cains Adam L. Young et Moti M. Yung théo­­risent le rôle que peut exer­­cer la cryp­­to­­gra­­phie dans une attaque par « cryp­­to­­vi­­rus d’ex­­tor­­sion ». Mais, plutôt que la rançon, les hackers préfèrent souvent se servir à la source. En 1994, le russe Vladi­­mir Levin s’était intro­­duit dans le réseau infor­­ma­­tique de la City­­bank pour trans­­fé­­rer dix millions de dollars sur son compte en banque. Un an plus tard, l’Amé­­ri­­cain Kevin Mitc­­nick est arrêté après avoir volé 20 000 numé­­ros de cartes de crédit. Afin d’étu­­dier et contrer la vague de cyber­­crimes, le FBI crée la Natio­­nal Cyber-Foren­­sics & Trai­­ning Alliance (NCFTA) en 1997. Procu­­reur spécia­­lisé dans les crimes sexuels à Los Angeles, Heman­­shu Nigam s’in­­té­­resse alors à ceux commis contre des enfants et diffu­­sés sur Inter­­net. Cette acti­­vité sur le volet pédo­­por­­no­­gra­­phique de son travail l’amène à inté­­grer la section des crimes infor­­ma­­tique en 1998. C’est aussi l’an­­née où l’in­­gé­­nieur améri­­cain Wei Dai décrit un système élec­­tro­­nique de tréso­­re­­rie anonyme qu’il appelle « b-money » et où l’in­­for­­ma­­ti­­cien Nick Szabo lance le « Bit gold ». Couvrant d’un voile opaque les trans­­ferts d’argent sur la Toile, les crypto-monnaies donnent aux hackers la possi­­bi­­lité de toucher des rançons sans être traqués. Il faut attendre 2006 et la démo­­cra­­ti­­sa­­tion des e-mails pour que les ransom­­wares fassent parler d’eux. « Nous ne connais­­sons que ceux qui sont évoqués dans la presse, les plus gros », rela­­ti­­vise Heman­­shu Nigam. À cette période, le juriste vient de quit­­ter Micro­­soft où il a travaillé pendant quatre ans au déve­­lop­­pe­­ment des stan­­dards de sécu­­rité de plate­­formes comme Xbox, MSN et Windows. En paral­­lèle, il conseillait les services secrets améri­­cains, Inter­­pol et le FBI. Tous s’inquiètent que, cette même année 2006, des inter­­­nautes retrouvent leurs données prises en otage par les ransom­­wares GPcode, TROJ.RANSOM.A, Krot­­ten, Cryzip, WinLock, MayAr­­chive ou Archi­­veus.

Crédits : Then One/Wired

« C’est un très bon moyen de gagner de l’argent parce que vous récla­­mez des petites sommes que les gens sont dispo­­sés à payer car ils n’ont pas le choix », note Heman­­shu Nigam. « Ils ne peuvent pas appe­­ler le FBI ou le gouver­­ne­­ment. S’ils apportent leur ordi­­na­­teur à un expert, il répon­­dra : “Je ne peux pas régler ça parce que les données sont cryp­­tées, donc payez”. Pour finir, ils n’ont pas de système de sauve­­garde. Donc ils s’exé­­cutent. » Le procédé est devenu d’au­­tant plus effi­­cace qu’il s’est paré des atours de la vertu. Certains rançon­­gi­­ciels affichent le logo de la police ou d’agences améri­­caines pour deman­­der de payer une amende en règle­­ment d’un délit. En 2012, Reve­­ton utilise par exemple l’image du FBI pour mena­­cer ses cibles. Au deuxième trimestre 2012, l’édi­­teur d’anti-virus McAfee indique avoir enre­­gis­­tré 120 000 nouvelles attaques, soit quatre fois plus qu’à la même période l’an­­née d’avant. Parmi les nombreuses crypto-monnaies qui voient le jour, certaines, comme Dash, sont conçues pour garan­­tir un anony­­mat complet à ses utili­­sa­­teurs. De plus en plus fréquentes, les tenta­­tives d’at­­taques par ransom­­ware passent de 3,8 millions en 2015, selon les chiffres de la société de cyber­­sé­­cu­­rité SonicWall, à 698 millions en 2016, une infla­­tion spec­­ta­­cu­­laire.

 La faille

En septembre 2013, les 60 000 habi­­tants d’Al­­napa, sur les bords de la mer Noire, profitent de l’été indien. Avec le retour des vacan­­ciers mosco­­vites dans la capi­­tale, la petite station balnéaire russe a retrouvé sa tranquillité. Evge­­niy Boga­­chev goûte l’ins­­tant plus qui quiconque. Son ransom­­ware Cryp­­to­­lo­­cker va bien­­tôt lui rappor­­ter plus de trois millions de dollars. Malgré la rançon d’un montant équi­­valent promise par le FBI, ce tren­­te­­naire aux airs de Dr Evil, le méchant chauve d’Aus­­tin Power, peut tranquille­­ment dépen­­ser celles qu’il a récol­­tées.

Evge­­niy Boga­­chev

Un an plus tard, juste après la décou­­verte d’une clé permet­­tant à ses victimes de récu­­pé­­rer leur disque dur, une version déri­­vée de son programme baptisé Cryp­­to­­lo­­ckerF fait son appa­­ri­­tion. « Ce n’est pas inha­­bi­­tuel », indique Heman­­shu Nigam. « Des hackers récu­­pèrent le travail d’un groupe et l’amé­­liorent. » Ce nouveau ransom­­ware atteint surtout l’Aus­­tra­­lie, à l’ins­­tar de son succes­­seur, Torrent­­lo­­cker. Cryp­­to­­wall connait aussi plusieurs moutures, dont la troi­­sième, décou­­verte en janvier 2015, aurait extorqué 325 millions de dollars, d’après le groupe de cyber­­sé­­cu­­rité Cyber Threat Alliance. Fusob s’at­­taque la même année aux smart­­phones. « Certains ransom­­wares récents n’uti­­lisent même pas les pièces jointes des e-mails mais profitent de logi­­ciels qui ne sont pas mis à jour », alerte le FBI. La mise en garde n’a pas empê­­ché une autre agence améri­­caine, la NSA, d’être prise en défaut. Le 13 août 2016, le groupe de hacker Shadow Brokers a placé en vente des programmes d’es­­pion­­nage qu’il prétend avoir subti­­lisé à l’Equa­­tion Group, une unité de hackers liée à l’or­­ga­­nisme de sécu­­rité infor­­ma­­tique natio­­nal. Après que la société de sécu­­rité infor­­ma­­tique russe Kaspersky Lab a jugé la falsi­­fi­­ca­­tion des fichiers « haute­­ment impro­­bable », le site The Inter­­cept a confirmé leur authen­­ti­­cité sur la foi des infor­­ma­­tions déte­­nues par Edward Snow­­den. Plus grave, en avril 2017, les Shadow Brokers révèlent être en posses­­sion d’un malware créé par la NSA, Eter­­nalB­­lue. Pour « protes­­ter » contre la prési­­dence Trump, ils éventent son mot de passe. « Nous payons les consé­quences du manque de protec­­tion de la NSA pour son maté­­riel de hacking », se lamente Heman­­shu Nigam. Parce qu’il exploite une faille de sécu­­rité de Windows, Eter­­nalB­­lue est ce qu’on appelle en jargon infor­­ma­­tique un « exploit ». Il ne peut rien contre les inter­­­nautes qui ont installé les mises à jour de Micro­­soft mais se propage sur les machines de ceux – nombreux – dont le système d’ex­­ploi­­ta­­tion est obso­­lète. Dès le 12 mai 2017, un groupe de hackers s’en sert pour lancer « WannaC­­rypt », le ransom­­ware le plus dévas­­ta­­teur jamais inventé. Plus de 300 000 ordi­­na­­teurs dans 150 pays sont touchés dont ceux des services sociaux britan­­niques, des chemins de fer alle­­mands, du trans­­por­­teur améri­­cain FedEx ou de la compa­­gnie de télé­­phone espa­­gnole Tele­­fo­­nica. Élaboré en 28 langues diffé­­rentes, WannaC­­rypt est capable de chif­­frer 179 types de fichiers diffé­­rents. Mais les dégâts auraient pu être bien plus impor­­tants si ses concep­­teurs n’avaient pas aussi créé un « kill-switch », c’est-à-dire un nom de domaine contacté par le ransom­­ware avant de s’at­­taquer aux fichiers de sa cible. Lorsqu’il le découvre, le hacker Malwa­­reTech décide donc d’en­­re­­gis­­trer ledit nom de domaine pour entra­­ver le fonc­­tion­­ne­­ment de WannaC­­rypt. Par ailleurs, le fait que seules quatre adresses de bitcoin aient été adres­­sées aux victimes pour leur permettre de payer la rançon rend toute iden­­ti­­fi­­ca­­tion impos­­sible, remarque Matthew Hickey, cher­­cheur de la société de sécu­­rité londo­­nienne Hacker house. Dès lors, comment les hackers peuvent-ils déchif­­frer les fichiers d’une personne ayant versé les 300 dollars de rançon exigés s’ils sont inca­­pables de faire le lien entre le paie­­ment et le payeur ? Si un déchif­­frage est bien réalisé, en conclut le spécia­­liste de la cyber­­sé­­cu­­rité améri­­cain Craig Williams, qui travaille pour Cisco, cela doit passer par un contact direct avec la victime à moins qu’il soit effec­­tué de manière aléa­­toire pour donner l’illu­­sion à certains que le paie­­ment est suivi d’ef­­fet. Sans quoi « le modèle qui fait fonc­­tion­­ner le ransom­­ware ne fonc­­tionne pas », observe-t-il. Cela explique que les 55 000 dollars de gains esti­­més consti­­tuent « un échec pour un ransom­­ware », ajoute Williams. Les hackers ont seule­­ment gagné « de gros dégâts, une très grande publi­­cité, un grand affi­­chage en tant que délinquants et une marge de béné­­fices parmi les plus basses qu’on ait jamais vu même pour un ransom­­ware de taille modé­­rée ou petite ». À en juger par les simi­­li­­tudes qu’il présente avec un programme de 2015, WannaC­­rypt serait l’œuvre de Laza­­rus, indique Matt Suiche. Ce groupe de hackers qui aurait des liens avec la Corée du Nord est parvenu à déro­­ber 81 millions de dollars à la Banque natio­­nale du Bangla­­desh en 2016. « Wanna­­crypt nous montre qu’une infec­­tion de masse d’un ransom­­ware utili­­sant des cryp­­to­­mon­­naies n’est pas rentable », tranche Matt Suiche, ajou­­tant qu’ « au moins, les hackers nord-coréens vont direc­­te­­ment à la banque, ils ne provoquent pas des dommages chez des entre­­prises inno­­centes ». Bien que les opéra­­tions WannaC­­rypt et NotPe­­tya soient loin d’être des succès finan­­ciers en compa­­rai­­son avec les précé­­dents ransom­­wares, Heman­­shu Nigam estime que « les hackers vont amélio­­rer leur système dans les années à venir et mieux le faire fonc­­tion­­ner ». Déjà, « NotPe­­tya n’avait pas de kill-switch à la diffé­­rence de WannaC­­rypt », rappelle-t-il. Des progrès sont indis­­pen­­sables afin d’as­­su­­rer le fonc­­tion­­ne­­ment même de la méthode. « Ça marche comme un busi­­ness », compare le patron de SSP Blue. « Si vous ne four­­nis­­sez pas au consom­­ma­­teur ce pour quoi il a payé, il ne vous écou­­tera pas. Donc je pense que les hackers ont une bonne raison d’amé­­lio­­rer les ransom­­wares. C’est ce qui va se produire. » Ceux qui utilisent de vieilles versions de Windows sont préve­­nus.


Couver­­ture : NotPe­­tya. (Ulyces.co)
 
Free Down­load WordP­ress Themes
Down­load Premium WordP­ress Themes Free
Down­load Nulled WordP­ress Themes
Down­load Best WordP­ress Themes Free Down­load
free online course
Premium WordPress Themes Download
Download Nulled WordPress Themes
Free Download WordPress Themes
Download Nulled WordPress Themes
free download udemy course

Plus de monde