Plusieurs analyses d'experts en sécurité informatiques sont formelles : l'attaque au ransomware Petya cacherait en fait un wiper, un malware visant à effacer les données des postes visées. Sans possibilité de les récupérer.

Malgré les apparences, Petya pourait être bien plus qu’une simple attaque au ransomware. Le malware qui a touché de multiples entreprises et administrations dans différents pays — l’Ukraine étant la plus touchée, puisqu’elle concentre 60 % de l’infection —  se servirait en fait de cette demande de rançon comme d’une couverture pour cacher son véritable objectif : détruire purement et simplement les données des postes touchés.

C’est la conclusion à laquelle sont parvenus plusieurs spécialistes de sécurité informatique réputés, qu’il s’agisse de spécialistes en malware qui travaillent pour l’éditeur russe de sécurité informatique Kaspersky ou du hacker réputé Matt Suiche, à la tête de la société de cybersécurité Comae.

Il affirme ainsi que Petya est un wiper (littéralement : « effaceur ») et pas un ransomware, tout en rappelant la différence entre les deux :  le ransomware vise à soutirer de l’argent aux victimes en les obligeant à payer pour débloquer le PC dont le contenu a été chiffré par l’attaque. Le wiper (« effaceur »), lui, vise purement et simplement à effacer les données du poste ciblé, sans possibilité de récupération derrière. Matt Suiche résume : « Le but du wiper est de provoquer destruction et dommages, celui du ransomware de gagner de l’argent. »

clavier
CC Erkan Utu

Le ransomware initial aurait été transformé en wiper

Selon lui, la version de Petya utilisée pour l’attaque diffère des premières versions du malware repérées il y a quelques mois : « Le Petya actuel a été réécrit pour devenir un wiper et pas un ransomware. » Il procède ensuite à une démonstration technique pour montrer comment Petya vise simplement à détruire le contenu des disques touchés, et conclut : « Se faire passer pour un ransomware pour cacher une attaque [menée ou commanditée par] un État nous paraît être une manière très subtile pour l’attaquant de garder la main sur la présentation [qui est faite de l’attaque]. »

Anton Ivanov et Orkhan Mamedov, de Kaspersky, ont abouti à une conclusion identique : « Après avoir analysé la routine de chiffrage du malware utilisé dans les attaques Petya/ExPetr, nous avons [estimé] que l’attaquant ne peut pas décrypter le disque des victimes, même si celle-ci a payé [la rançon]. »

Le duo poursuit : « Cela confirme la théorie selon laquelle cette campagne de malware ne mise pas sur un ransomware pour s’enrichir mais cherche visiblement à masquer un wiper déguisé en ransomware. »

Les soupçons se portent sur la Russie

D’autres éléments accréditent cette théorie, comme le fait que l’unique adresse mail à laquelle envoyer le paiement de la rançon a été supprimée par le service de messagerie concerné, l’Allemand Posteo, ce qui empêche les prétendus maîtres chanteurs de récolter leur rançon. Le portefeuille Bitcoin censé récolter les paiements ne comptait ainsi que 10 000 dollars mercredi 28 juin, un bien maigre butin.

La piste, si elle se confirme, pose d’autres questions : qui est à l’origine de cette campagne de paralysie ? Et pourquoi viser spécialement l’Ukraine ? Plusieurs spécialistes soupçonnent la Russie — également touchée par Petya –, sans toutefois pouvoir apporter la moindre preuve.

L’opération s’annonce compliquée, comme le rappelle au Guardian Mark McArdle, responsable technique au sein de l’entreprise de cybersécurité eSentire : «  Trouver des preuves irréfutables qui relient un attaquant à une attaque est virtuellement impossible, donc nous en sommes réduits à des hypothèses. » De son côté, le porte-parole du Kremlin, Dmitri Peskov, a profité de l’attaque pour appeler à une collaboration internationale contre les cybermenaces.

Partager sur les réseaux sociaux