Blog de Paul Jorion

La cyberattaque mondiale, démarrée mardi en Ukraine avant de se propager dans le reste du monde et toucher plusieurs milliers d’ordinateurs, pourrait être un logiciel effaceur (wiper) masqué derrière un rançongiciel (ransomware), de l’avis de plusieurs spécialistes interrogés par l’AFP.

« Ce n’est pas un ransomware (logiciel de rançon), c’est un wiper (logiciel effaceur), ce qui change totalement la perspective. Nous ne sommes pas dans le cas d’un acte de cybercriminalité classique », confirme à l’AFP Tanguy de Coatpont, directeur général France de Kaspersky Labs.

Si un rançongiciel sert à crypter une partie des données d’un ordinateur afin de forcer les victimes à payer une somme, le plus souvent en bitcoin, pour pouvoir les récupérer, l’effaceur supprime, lui, purement et simplement les données visées, de manière à rendre le programme ou l’ordinateur inutilisable.

L’argent n’était « pas la motivation principale »

Signe que récupérer de l’argent auprès des cibles n’était pas l’objectif premier selon l’ensemble des experts interrogés, la faible somme obtenue par les assaillants : à peine plus de 3,1 bitcoins, soit autour de 10 000 dollars, très loin des 140 millions de dollars rapportés par WannaCry un mois plus tôt. […]

Une attaque sophistiquée, mais la partie paiement bâclée

[…] Alors que le niveau global de l’attaque est plutôt sophistiqué, les experts en cybersécurité s’étonnent de l’apparent amateurisme d’un certain nombre d’éléments, en particulier dans la partie de récupération des rançons.

« La plupart des victimes avaient une demande avec la même adresse mail, ce qui ne se fait pas sur les attaques habituelles par ransomware. L’attaque était très bien préparée d’un point de vue technologique mais la partie paiement était anormalement bâclée », résume M. Coatpont.

Des entreprises ukrainiennes visées par « l’attaque initiale »

Pour certains experts, un rançongiciel utilisé comme diversion pour une attaque d’une autre nature est une première.

[…] Reste que l’Ukraine semblait bien la cible principale de l’attaque, qui a visé un logiciel très populaire dans le pays dont la mise à jour propageait le virus. « L’attaque initiale visait clairement des entreprises ukrainiennes, les autres pays touchés sont avant tout des dommages collatéraux, par le biais des filiales sur place de grands groupes », ajoute Tanguy de Coatpont.

Ce serait ainsi que, de l’Ukraine le virus s’est propagé dans différents pays, tels que le Royaume-Uni, l’Italie, la France ou encore les États-Unis, mais ces infections se sont faites via les filiales locales, expliquant pourquoi les grands groupes semblaient ciblés.

550 entreprises touchées

[…] Reste le plus difficile, l’attribution d’une telle attaque qui a nécessité « des moyens, car les gens qui l’ont réalisé ont modifié beaucoup de choses, le niveau de technicité est important ».

Paul Jorion :

Moralité : gagner de l’argent leur importait peu, c’est un acte de guerre pur et simple déguisé en crime crapuleux.