Deux entreprises de sécurité informatique sont parvenues à la même piste après la découverte d’une partie de code dans une version initiale du logiciel WannaCrypt. La Corée du Nord pourrait être à l’origine de l’attaque par le biais du groupe de hackers Lazarus Group, déjà à l’origine du piratage de Sony. Mais la prudence reste de mise, en l’attente d’éléments plus probants.

Quelques jours après la vaste attaque informatique qui a touché plus de 200 000 ordinateurs dans 150 pays grâce au logiciel de rançon WannaCrypt (aussi nommé WannaCry), une question demeure : qui est derrière cette opération sans précédent ?

Au lendemain de l’attaque, Guillaume Poupard, directeur de l’Agence nationale de la sécurité des systèmes d’information, affirmait au Monde : « Il est encore tôt, et nous restons bien sûr prudents sur ce point. Mais tout, dans le scénario présent, fait penser à une attaque criminelle. […]  Je peux me tromper, mais je ne pense pas qu’on soit dans un scénario étatique. Nous sommes plutôt face à une tentative de chantage classique. »

Toutefois, deux entreprises de sécurité informatique, la société russe Kaspersky et l’américaine Symantec (qui fournit aussi des logiciels informatiques), soupçonnent aujourd’hui un groupe de hackers, le Lazarus Group, lié au gouvernement nord-coréen. Les deux sociétés sont en effet parvenues à la même piste après la découverte d’un bout de code crucial par Neal Mehta, un expert en sécurité de Google, qui l’a partagé sur Twitter.

« Une fausse piste nous paraît improbable »

Comme l’explique Kaspersky sur son blog, ce court extrait de code évoque la piste du Lazarus Group, une équipe de hackers restée célèbre pour avoir hacké Sony en 2014 — ce qui avait entraîné la fuite de films et de mails puis des sanctions du gouvernement américain contre la Corée du Nord — comme pour le vol à distance de 81 millions de dollars à la banque du Bangladesh en 2016. Autre similarité marquante : la demande de rançon en bitcoins, une pratique dont le Lazarus Group est coutumier.

La trouvaille principale reste la partie du code utilisée dans une version initiale du logiciel WannaCry (en date de février 2017), qui est semblable à celle utilisée dans un backdoor (ou porte dérobée) utilisé par le Lazarus Group en 2015. Toutefois, ce point commun ne suffit pas, à lui seul, à établir leur implication.

La prudence est donc de mise, comme le reconnaît Kaspersky : « Pourrait-il s’agir d’une fausse piste ? Théoriquement, tout est possible, on peut penser que le backdoor code de 2015 a été copié sur l’extrait de Wannacry de février 2017. Toutefois, ce code semble avoir été supprimé des versions suivantes. L’extrait de février 2017 semble être une variante  prématurée de l’outil de chiffrement de Wannacry. Une fausse piste, bien qu’envisageable, nous paraît improbable. »

De son côté, Symantec s’est livré à une analyse encore plus prudente : « Nous n’avons pas encore pu confirmer que ce sont les outils de Lazarus qui ont déployé WannaCry sur ces systèmes. En complément, nous avons trouvé du code, sur WannaCry, qui est utilisé dans des routines SSL qui sont historiquement propres aux outils de Lazarus. Si ces liens existent, ils restent pour l’instant assez faibles. Nous continuons d’enquêter pour trouver des rapports plus significatifs. »

Europol, qui a ouvert une enquête, ne privilégie pour l’instant aucune piste, comme l’a expliqué son porte-parole Jan Op Gen Oorth : « Nous sommes prêts à enquêter dans toutes les directions mais nous ne spéculons pas et ne pouvons pas confirmer [cette allégation]. Il est trop tôt pour affirmer quoi que ce soit. »

L’entreprise Kaspersky conclut  : « Dans l’immédiat, il nous faut explorer plus en avant les versions les plus anciennes de Wannacry. Nous sommes convaincus qu’elles détiennent les clés pour résoudre les zones d’ombre qui entourent cette attaque. Une chose est sûre — la découverte de Neel Mehta est l’indice le plus significatif à ce jour au sujet des origines de Wannacry ».


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.