Si la Corée du Nord est une piste privilégiée par certaines entreprises de sécurité informatique pou expliquer l'origine de WannaCrypt, une analyse linguistique du ransomware suggère l'implication de pirates chinois.

Apparu à la mi-mai, le rançongiciel WannaCrypt est encore loin d’avoir livré tous ses mystères. Alors que d’importants efforts sont déployés pour donner aux victimes du ransomware les outils adéquats pour contrer ses méfaits, l’enquête se poursuit pour essayer de déterminer qui est à l’origine de ce programme malveillant. Et si la Corée du Nord a été pointée du doigt très vite, une autre piste existe.

Celle de la Chine.

C’est l’hypothèse que défend Flashpoint, une société de sécurité informatique, après avoir effectué une analyse linguistique des consignes qui figurent dans le logiciel. La version chinoise de WannaCrypt est l’une des deux seules — avec l’anglais — à avoir été écrite par quelqu’un. Or, la version anglaise comporte des formulations curieuses contrairement à la déclinaison chinoise.

Le texte en anglais

« Plusieurs caractéristiques uniques dans les consignes indiquent qu’elles ont été écrites par quelqu’un parlant le chinois couramment. Une faute de frappe dans le texte, « 帮 组 » (bang zu) au lieu de « 帮助 » (bang zhu), signifiant « aide », incite fortement à penser que le texte a été écrit à l’aide d’un système d’entrée en langue chinoise plutôt que d’être traduit à partir d’une version différente », observe Flashpoint.

« De façon générale, le texte utilise une grammaire, une ponctuation, une syntaxe et un choix d’idéogrammes appropriés, ce qui indique que la personne qui l’a écrit a le chinois en langue maternelle ou en a au moins une maîtrise avancée. Il y a toutefois au moins une erreur grammaticale mineure, qui peut être expliquée par une erreur de copier / coller ou par une mauvaise saisie semi-automatique », ajoute la firme.

flashpoint_wannacry
Le processus de traduction, selon Flashpoint.

Selon Flashpoint, la version anglaise a aussi été écrite par quelqu’un mais avec une maîtrise de la langue moindre. En outre, le texte a été simplifié avec le retrait de certaines phrases et plusieurs erreurs grammaticales ont été relevées. Quant aux autres langues, 25, elles sont passées par un outil de traduction automatique. Des tests montrent une similitude entre 96 et 100 % avec Google Traduction.

Que des individus parlant chinois aient participé au développement de WannaCrypt ne signifie en aucune façon que Pékin est impliqué dans la gestation du ransomware. Il peut tout à fait s’agir de pirates chinois agissant pour leur propre compte ou pour le compte d’une puissance étrangère — comme la Corée du Nord, qui est une piste suivie par les sociétés de sécurité informatique Symantec et Kaspersky.

Commentant l’existence de WannaCrypt, Guillaume Poupard, directeur de l’Agence nationale de la sécurité des systèmes d’information, affirmait que « tout, dans le scénario présent, fait penser à une attaque criminelle. […]  Je peux me tromper, mais je ne pense pas qu’on soit dans un scénario étatique. Nous sommes plutôt face à une tentative de chantage classique ».

Corée du Nord
La Corée du Nord impliquée ?

La Chine, de son côté, s’était montrée très critique au sujet de la politique américaine en matière de prévention dans ce domaine. Le pays a d’ailleurs été assez fortement affecté par le logiciel malveillant. De son côté, la Corée du Nord a nié toute responsabilité dans la création et la propagation de WannaCrypt, même si elle dispose d’une cellule dédiée aux cyberattaques, l’Unité 180.

Dans le domaine « cyber », il faut toutefois garder en tête que les indices linguistiques sur lesquels Flashpoint base son rapport et ses conclusions ont très bien pu être fabriqués à dessein afin d’inciter les experts à privilégier telle piste plutôt que telle autre. Si l’Unité 180 est à l’origine de WannaCrypt, elle a peut-être volontairement « sabordé » le texte en coréen et soigner la version chinoise, justement pour brouiller les pistes.

À lire sur Numerama : WannaCrypt  : comment peut-on se protéger d’un ransomware  ?

Partager sur les réseaux sociaux