L’attaque

Une Mercedes grise quitte l’avenue Solomienska pour filer vers le centre de Kiev par la rue Mekhaniztoriv. À 8 h 14, ce mardi 27 juin 2017, la circulation est dense dans la capitale ukrainienne. Alors que le véhicule termine son virage, il est soudain pulvérisé à plusieurs dizaines de mètres à la ronde par une violente explosion. Des débris retombent comme des météorites sur la chaussée. « La scène du crime laisse à penser qu’il s’agit d’un acte de terrorisme planifié », déclare le porte-parole du ministère de l’Intérieur, Artem Shevchenko, quelques heures plus tard. Une thèse confortée par le profil de la victime.

Crédits : Twitter

Tué dans l’explosion, Maksim Shapoval travaillait pour les services de renseignement ukrainien. À ce titre, il a pris part aux combats contre les séparatistes du Donbass et leurs parrains russes, dans l’est du pays. Ajouté à l’annexion de la Crimée, au printemps 2014, ce conflit donne à l’ancienne république soviétique une raison de suspecter Moscou. En fait de relations diplomatiques, les deux États n’échangent plus que des accusations. Quand, quelques heures après l’attentat, une série de sociétés ukrainiennes a été « frappée par un virus », d’après le gouvernement, les regards se sont à nouveau tournés vers l’est. Par l’intermédiaire d’un logiciel de comptabilité national, MEDoc, l’attaque informatique s’est répandue dans les systèmes de l’administration, de compagnies productrices d’énergie, d’aéroports et même de supermarchés. Elle a aussi affecté, entre autres, le transporteur maritime danois Maersk, le réseau britannique d’agences publicitaires WPP, les bureaux allemands de Nivea, l’entreprise pharmaceutique américaine Merck et le Français Saint-Gobain.

Sur chaque ordinateur est apparu un même message annonçant que le chiffrement de données les rendaient inaccessibles, sauf à payer une rançon d’environ 300 dollars. Baptisé ransomware (ou rançongiciel), ce type de programme malveillant est une arme financière redoutable. « Du point de vue de l’internaute, un nouveau disque dur coûterait environ 400 dollars alors que les hackers demandent entre 100 et 300 », explique Hemanshu Nigam. « Il vaut donc mieux les payer et récupérer ses informations que de devoir tout recommencer. » Fondateur de SSP Blue, la plus importante société de conseil en sécurité numérique au monde, Hemanshu Nigam souffle à l’oreille des grandes entreprises comme des gouvernements. Il a déjà œuvré auprès de Disney Interactive Studios, des Nations Unies et de l’administration Obama. Mais cette fois, régler la note aurait été vain, prévient le hacker Matt Suiche, fondateur de la société de cybersécurité Comae Technologies. D’abord présenté comme une nouvelle version de Petya, un logiciel diffusé en 2016, l’infection « est un wiper et non un ransomware », recadre-t-il. « Son but est de nuire, pas de gagner de l’argent. » Au lieu d’être chiffrées et donc récupérables, les données sont simplement supprimées, analyse-t-il. S’il est encore souvent appelé Petya, le virus a été renommé « NotPetya ». L’argent ne serait donc pas la cause du sinistre. « C’est arrivé au moment où une série d’incidents a eu lieu, dont l’assassinat d’un agent de renseignement ukrainien et plusieurs mois après l’attaque informatique contre le système d’alimentation électrique du pays », insiste Matt Suiche. En décembre 2015, trois sociétés de distribution d’énergie ont été la cible de la première cyberattaque réussie contre un réseau de cette importance. La société de cyberespionnage américaine iSight Partners a accusé le groupe de hackers russe Sandworm.

Crédits : Ulyces.co

Dans le cas de NotPetya, le centre de cyberdéfense de l’OTAN est persuadé de la responsabilité d’un acteur étatique. « Des cybercriminels ne sont pas derrière cela étant donné que la méthode de collecte de la rançon est rudimentaire. Le montant de la rançon ne couvrirait même pas le coût de l’opération », écrit-il dans un communiqué de presse. D’après la société de sécurité informatique Kaspersky, la clé délivrée à un internaute pour récupérer ses données n’est d’aucune utilité. Elle est générée de manière aléatoire, ce qui laisse supposer que les hackers sont incapables d’opérer le déchiffrage. L’adresse e-mail à laquelle elle doit être envoyée pour ce faire a de toute manière été supprimée. « Un groupe très organisé avait inventé Petya pour gagner de l’argent », considère Hemanshu Nigam. « Mais je pense qu’un autre groupe s’en est saisi et l’a transformé en une attaque malveillante pour d’autres raisons. Quelqu’un l’a modifié de sorte que vous ne puissiez pas déchiffrer les données même si vous payez. » En plus de NotPetya, l’Ukraine a aussi été atteinte par un clone de WannaCrypt, un rançongiciel ayant intoxiqué plus de 300 000 ordinateurs en mai 2017. Mais dans un cas comme dans l’autre, « ce n’était pas une attaque directe de la Russie contre l’Ukraine », tempère Nigam. « Si c’était le cas, le gouvernement russe aurait frappé beaucoup plus fort et aurait fait davantage de dégâts. Au vu du profil des victimes, il y avait un désir d’endommager des multinationales. » D’ailleurs, le pétrolier d’État russe Rosneft n’a-t-il pas lui-même été attaqué ? Comme WannaCryt, NotPetya exploite EternalBlue, un programme développé par la NSA qui lui a échappé. Il permet d’exploiter une faille de sécurité de Windows pour propager une attaque à grande échelle, augmentant la capacité de nuisance des ransomwares. Ce qui explique pourquoi on commence enfin à s’intéresser à un programme vieux de près de trente ans.

Crédits : Ulyces.co

PC Cyborg

« Le docteur Popp a été empoisonné. » Ce jour d’avril 1989, le message résonne dans l’aéroport Schipol d’Amsterdam. En transit entre le Kenya et les États-Unis, un passager ne cesse de crier son angoisse aux agents de contrôle. Il l’a même griffonnée sur la valise d’un autre voyageur. Personne n’a empoisonné le biologiste américain Joseph Popp, mais il n’est pas en parfaite santé pour autant. Décrit comme en « état de folie aiguë », l’homme qui parle de lui-même à la troisième personne s’en tire avec une simple fouille. Pour l’instant. Sur la base de l’autocollant « PC Cyborg » trouvé parmi ses affaires, il est arrêté le 2 février 1990 par la police américaine. Pour tout domicile, PC Cyborg possède une boîte aux lettres au Panama. C’est là qu’avant la création du world wide web, les victimes du premier ransomware de l’histoire devaient envoyer leur argent.

Entre le 7 et le 11 décembre 1989, 20 000 personnes ont reçu une enveloppe contenant une disquette de « renseignements introductifs sur le Sida ». Envoyée depuis une société fantôme basée à Londres, la Ketema & Associates, celle-ci donne accès à « un logiciel interactif pour l’éducation à la prévention du Sida ». Ces conseils sont censés pouvoir « sauver la vie » aux patients et associations de patients qui les reçoivent. En réalité, elle contient une autre infection : un programme qui chiffre les données et propose de les restaurer contre une redevance annuelle de 189 dollars. Pour une part, les destinataires sont des abonnés du magazine anglais PC Business World. Les autres figurent sur la liste des participants à la quatrième Conférence internationale sur le sida, organisée l’année précédente à Stockholm par l’Organisation mondiale de la santé (OMS). À cause de la disquette envoyée par Joseph Popp, une organisation italienne travaillant sur le sujet perd 20 années de recherches sur une épidémie qui connaît alors un pic inquiétant, le nombre de cas rapporté dépassant 100 000 pour la première fois en 1989. Auteur d’une thèse sur l’évolution à Harvard, Joseph Popp est lui-même engagé dans la lutte contre le sida en tant que chercheur et consultant pour l’OMS au Kenya.

Il faut attendre la démocratisation des e-mails pour que les ransomwares fassent parler d’eux.

Après son arrestation, le « savant fou » présenté par la presse prétend d’ailleurs qu’il voulait lever des fonds pour aider la recherche indépendante et les associations. Complotiste achevé, il explique que « les gouvernements du tiers monde » dissimulent sciemment à leur population les techniques de protection contre la maladie pour contrôler la croissance démographique. Quant à l’OMS, elle les protégerait de crainte d’avoir inoculé la maladie en Afrique par des vaccinations. Des délires qui valent au scientifique, considéré comme dément, d’être relâché par la justice. Six ans après la disquette de Popp, les expériences des informaticiens américains Adam L. Young et Moti M. Yung théorisent le rôle que peut exercer la cryptographie dans une attaque par « cryptovirus d’extorsion ». Mais, plutôt que la rançon, les hackers préfèrent souvent se servir à la source.

En 1994, le russe Vladimir Levin s’était introduit dans le réseau informatique de la Citybank pour transférer dix millions de dollars sur son compte en banque. Un an plus tard, l’Américain Kevin Mitcnick est arrêté après avoir volé 20 000 numéros de cartes de crédit. Afin d’étudier et contrer la vague de cybercrimes, le FBI crée la National Cyber-Forensics & Training Alliance (NCFTA) en 1997. Procureur spécialisé dans les crimes sexuels à Los Angeles, Hemanshu Nigam s’intéresse alors à ceux commis contre des enfants et diffusés sur Internet. Cette activité sur le volet pédopornographique de son travail l’amène à intégrer la section des crimes informatique en 1998. C’est aussi l’année où l’ingénieur américain Wei Dai décrit un système électronique de trésorerie anonyme qu’il appelle « b-money » et où l’informaticien Nick Szabo lance le « Bit gold ». Couvrant d’un voile opaque les transferts d’argent sur la Toile, les crypto-monnaies donnent aux hackers la possibilité de toucher des rançons sans être traqués. Il faut attendre 2006 et la démocratisation des e-mails pour que les ransomwares fassent parler d’eux. « Nous ne connaissons que ceux qui sont évoqués dans la presse, les plus gros », relativise Hemanshu Nigam. À cette période, le juriste vient de quitter Microsoft où il a travaillé pendant quatre ans au développement des standards de sécurité de plateformes comme Xbox, MSN et Windows. En parallèle, il conseillait les services secrets américains, Interpol et le FBI. Tous s’inquiètent que, cette même année 2006, des internautes retrouvent leurs données prises en otage par les ransomwares GPcode, TROJ.RANSOM.A, Krotten, Cryzip, WinLock, MayArchive ou Archiveus.

Crédits : Then One/Wired

« C’est un très bon moyen de gagner de l’argent parce que vous réclamez des petites sommes que les gens sont disposés à payer car ils n’ont pas le choix », note Hemanshu Nigam. « Ils ne peuvent pas appeler le FBI ou le gouvernement. S’ils apportent leur ordinateur à un expert, il répondra : “Je ne peux pas régler ça parce que les données sont cryptées, donc payez”. Pour finir, ils n’ont pas de système de sauvegarde. Donc ils s’exécutent. » Le procédé est devenu d’autant plus efficace qu’il s’est paré des atours de la vertu. Certains rançongiciels affichent le logo de la police ou d’agences américaines pour demander de payer une amende en règlement d’un délit. En 2012, Reveton utilise par exemple l’image du FBI pour menacer ses cibles. Au deuxième trimestre 2012, l’éditeur d’anti-virus McAfee indique avoir enregistré 120 000 nouvelles attaques, soit quatre fois plus qu’à la même période l’année d’avant. Parmi les nombreuses crypto-monnaies qui voient le jour, certaines, comme Dash, sont conçues pour garantir un anonymat complet à ses utilisateurs. De plus en plus fréquentes, les tentatives d’attaques par ransomware passent de 3,8 millions en 2015, selon les chiffres de la société de cybersécurité SonicWall, à 698 millions en 2016, une inflation spectaculaire.

 La faille

En septembre 2013, les 60 000 habitants d’Alnapa, sur les bords de la mer Noire, profitent de l’été indien. Avec le retour des vacanciers moscovites dans la capitale, la petite station balnéaire russe a retrouvé sa tranquillité. Evgeniy Bogachev goûte l’instant plus qui quiconque. Son ransomware Cryptolocker va bientôt lui rapporter plus de trois millions de dollars. Malgré la rançon d’un montant équivalent promise par le FBI, ce trentenaire aux airs de Dr Evil, le méchant chauve d’Austin Power, peut tranquillement dépenser celles qu’il a récoltées.

Evgeniy Bogachev

Un an plus tard, juste après la découverte d’une clé permettant à ses victimes de récupérer leur disque dur, une version dérivée de son programme baptisé CryptolockerF fait son apparition. « Ce n’est pas inhabituel », indique Hemanshu Nigam. « Des hackers récupèrent le travail d’un groupe et l’améliorent. » Ce nouveau ransomware atteint surtout l’Australie, à l’instar de son successeur, Torrentlocker. Cryptowall connait aussi plusieurs moutures, dont la troisième, découverte en janvier 2015, aurait extorqué 325 millions de dollars, d’après le groupe de cybersécurité Cyber Threat Alliance. Fusob s’attaque la même année aux smartphones. « Certains ransomwares récents n’utilisent même pas les pièces jointes des e-mails mais profitent de logiciels qui ne sont pas mis à jour », alerte le FBI. La mise en garde n’a pas empêché une autre agence américaine, la NSA, d’être prise en défaut.

Le 13 août 2016, le groupe de hacker Shadow Brokers a placé en vente des programmes d’espionnage qu’il prétend avoir subtilisé à l’Equation Group, une unité de hackers liée à l’organisme de sécurité informatique national. Après que la société de sécurité informatique russe Kaspersky Lab a jugé la falsification des fichiers « hautement improbable », le site The Intercept a confirmé leur authenticité sur la foi des informations détenues par Edward Snowden. Plus grave, en avril 2017, les Shadow Brokers révèlent être en possession d’un malware créé par la NSA, EternalBlue. Pour « protester » contre la présidence Trump, ils éventent son mot de passe. « Nous payons les conséquences du manque de protection de la NSA pour son matériel de hacking », se lamente Hemanshu Nigam. Parce qu’il exploite une faille de sécurité de Windows, EternalBlue est ce qu’on appelle en jargon informatique un « exploit ». Il ne peut rien contre les internautes qui ont installé les mises à jour de Microsoft mais se propage sur les machines de ceux – nombreux – dont le système d’exploitation est obsolète.

Dès le 12 mai 2017, un groupe de hackers s’en sert pour lancer « WannaCrypt », le ransomware le plus dévastateur jamais inventé. Plus de 300 000 ordinateurs dans 150 pays sont touchés dont ceux des services sociaux britanniques, des chemins de fer allemands, du transporteur américain FedEx ou de la compagnie de téléphone espagnole Telefonica. Élaboré en 28 langues différentes, WannaCrypt est capable de chiffrer 179 types de fichiers différents. Mais les dégâts auraient pu être bien plus importants si ses concepteurs n’avaient pas aussi créé un « kill-switch », c’est-à-dire un nom de domaine contacté par le ransomware avant de s’attaquer aux fichiers de sa cible. Lorsqu’il le découvre, le hacker MalwareTech décide donc d’enregistrer ledit nom de domaine pour entraver le fonctionnement de WannaCrypt. Par ailleurs, le fait que seules quatre adresses de bitcoin aient été adressées aux victimes pour leur permettre de payer la rançon rend toute identification impossible, remarque Matthew Hickey, chercheur de la société de sécurité londonienne Hacker house. Dès lors, comment les hackers peuvent-ils déchiffrer les fichiers d’une personne ayant versé les 300 dollars de rançon exigés s’ils sont incapables de faire le lien entre le paiement et le payeur ? Si un déchiffrage est bien réalisé, en conclut le spécialiste de la cybersécurité américain Craig Williams, qui travaille pour Cisco, cela doit passer par un contact direct avec la victime à moins qu’il soit effectué de manière aléatoire pour donner l’illusion à certains que le paiement est suivi d’effet. Sans quoi « le modèle qui fait fonctionner le ransomware ne fonctionne pas », observe-t-il. Cela explique que les 55 000 dollars de gains estimés constituent « un échec pour un ransomware », ajoute Williams. Les hackers ont seulement gagné « de gros dégâts, une très grande publicité, un grand affichage en tant que délinquants et une marge de bénéfices parmi les plus basses qu’on ait jamais vu même pour un ransomware de taille modérée ou petite ». À en juger par les similitudes qu’il présente avec un programme de 2015, WannaCrypt serait l’œuvre de Lazarus, indique Matt Suiche. Ce groupe de hackers qui aurait des liens avec la Corée du Nord est parvenu à dérober 81 millions de dollars à la Banque nationale du Bangladesh en 2016. « Wannacrypt nous montre qu’une infection de masse d’un ransomware utilisant des cryptomonnaies n’est pas rentable », tranche Matt Suiche, ajoutant qu’ « au moins, les hackers nord-coréens vont directement à la banque, ils ne provoquent pas des dommages chez des entreprises innocentes ». Bien que les opérations WannaCrypt et NotPetya soient loin d’être des succès financiers en comparaison avec les précédents ransomwares, Hemanshu Nigam estime que « les hackers vont améliorer leur système dans les années à venir et mieux le faire fonctionner ». Déjà, « NotPetya n’avait pas de kill-switch à la différence de WannaCrypt », rappelle-t-il. Des progrès sont indispensables afin d’assurer le fonctionnement même de la méthode. « Ça marche comme un business », compare le patron de SSP Blue. « Si vous ne fournissez pas au consommateur ce pour quoi il a payé, il ne vous écoutera pas. Donc je pense que les hackers ont une bonne raison d’améliorer les ransomwares. C’est ce qui va se produire. » Ceux qui utilisent de vieilles versions de Windows sont prévenus.


Couverture : NotPetya. (Ulyces.co)