/news/techno

Wannacry, NotPetya...

L’imagination des pirates informatiques est sans limite

Par Marie WOLFROM, Jean LIOU | AFP

Tomasz Zajda - stock.adobe.com

Tomasz Zajda - stock.adobe.com

Qu'ils demandent des rançons ou qu'ils effacent les contenus des ordinateurs, les logiciels malveillants mettent sur les dents les spécialistes de la cybersécurité, tant l'imagination des hackers semble sans limite.

Parmi la longue liste des «malwares», ces logiciels malicieux qui harcèlent nos réseaux informatiques, les «ransomwares» - ou rançongiciels - se sont multipliés ces derniers temps: ils bloquent les fichiers, ceux-ci n'étant récupérés que contre paiement d'une rançon, si tout va bien.

C'est un jeu d'enfant de s'en procurer sur le darknet, la cour des miracles des tréfonds du web où se croisent de méchants pirates et de nombreux ados, hackers en herbe en mal de sensations fortes.

«La semaine dernière, j'ai acheté un ransomware sur le darknet. Il m'a coûté l'équivalent de 2 dollars en bitcoins», raconte à l'AFP Jérôme Robert, responsable marketing d'EclecticIQ, une société néerlandaise spécialisée dans les cybermenaces.

«Il est techniquement pourri, mais tout pourri qu'il est, il est capable de foutre en l'air un système qui n'est pas prêt, comme l'était celui du NHS», le service de santé britannique mis à mal par l'attaque Wannacry en mai, constate-t-il.

Ce malware est prêt à frapper, détaille Jérôme Robert: «Il y a un système de chiffrage et de déchiffrage des données ciblées, le code source - il est personnalisable, ça prend quelques heures - et le mode d'emploi». Reste à trouver le moyen de l'envoyer sur les ordinateurs visés.

28 nouvelles familles de ransomwares par mois

«Depuis le début de l'année, on identifie 28 nouvelles familles de ransomwares par mois», relève Loïc Guézo, directeur pour l'Europe du Sud du japonais Trend Micro.

Wannacry a frappé des ordinateurs du monde entier en mai, utilisant une vulnérabilité de Windows que la NSA, l'agence de renseignement américaine, avait dissimulée et dont elle s'est fait voler le secret. Un «patch» avait bien été publié en mars pour protéger les anciennes versions concernées du système d'exploitation de Microsoft, mais il n'a pas été appliqué partout.

Résultat: un week-end de panique, pendant lequel ont été affectés le NHS, les chemins de fer allemands, le gouvernement espagnol ou des usines Renault.

NotPetya, qui a frappé un mois plus tard en exploitant entre autres la même vulnérabilité de Windows, ressemblait à un rançongiciel, mais on ne pouvait pas payer. Son but était clairement d'effacer le contenu des ordinateurs infectés.

NotPetya visait le fisc ukrainien. «Le problème avec l'interconnexion massive des systèmes d'information, c'est qu'avec une attaque en Ukraine, vous faites tomber une usine de chocolats Cadbury en Australie, les magasins Lapeyre en France ou la distribution des colis FedEx aux Etats-Unis», constate Gérôme Billois, responsable de la cybersécurité chez Wavestone. Il calcule que les dégâts dépassent allègrement le milliard de dollars, dont une bonne partie pour le groupe français Saint-Gobain.

Cyber-arme géopilitique

Si les spécialistes hésitent sur les auteurs de Wannacry, la Russie est clairement montrée du doigt pour NotPetya, une cyber-arme utilisée à des fins géopolitiques.

Ils appellent à organiser la «cyberrésilience»: mettre au point des réseaux suffisamment compartimentés pour limiter la propagation d'un malware, sécuriser des systèmes de sauvegarde, inventer des canaux de communication d'urgence, et prévoir une reconstruction rapide au cas où.

Et, bien sûr, tenter d'esquiver les attaques. Cela passe par un savant mélange de solutions technologiques (antivirus et autres), d'organisation et de vigilance.

«On est un peu condamnés à attendre le malware suivant», reconnaît Loïc Guézo chez Trend Micro. «Notre quotidien, c'est d'essayer d'anticiper!»

En l'occurrence, les organisations un peu préparées ont échappé à Wannacry et NotPetya, quand bien même ces attaques ont surpris tout le monde.

Mais la profession a senti le vent du boulet.

«L'étape d'après? ce serait une attaque massive avec des dégâts matériels, voire des blessés ou des morts», frémit Gérôme Billois.