Un mois et demi après la contamination par WannaCry de 350 000 postes informatiques dans plus de 150 pays, le virus GoldenEye fait pire. Enquête.
Par Baudouin Eschapasse
Modifié le 30/06/2017 à 10:05 - Publié le 29/06/2017 à 12:26 | Le Point.fr
Le parquet de Paris, qui dispose d'une compétence nationale pour ce type d'attaques informatiques, a été saisi.
Le parquet de Paris, qui dispose d'une compétence nationale pour ce type d'attaques informatiques, a été saisi. © AFP/ FRED TANNEAU
Avec 2 millions de machines infectées en moins de 48 heures, selon les experts de la société Shodan, spécialisée en cybersécurité, le virus informatique GoldenEye est en passe de battre le record du malware WannaCry, qui était parvenu à infecter 350 000 ordinateurs les 12 et 13 mai dernier. En France, 30 000 postes auraient été touchés à l'heure où sont écrites ces lignes. Les cibles connues, à ce stade, sont principalement de grands groupes. Si la SNCF indique avoir contenu l'assaut, l'industriel Saint-Gobain, le biscuitier LU, la mutuelle MAIF, le réseau de distribution Auchan et la filiale immobilière de BNP Paribas ont reconnu avoir été diversement touchés. Les dégâts ne sont pas encore chiffrés. Un état des lieux des réseaux informatiques de ces entreprises est en cours.
L'Agence nationale de sécurité des systèmes d'information (Anssi) est en alerte. Ses 600 employés sont sur le pont pour comprendre ce qui s'est passé depuis le 27 juin. « L'idée est de comprendre au plus vite comment se propage la bestiole pour empêcher qu'elle ne contamine davantage de monde », émet une source proche du dossier. « C'est un ransomware ou rançongiciel », explique dans son bulletin d'alerte le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (Cert-FR). Il verrouille les machines ciblées après avoir chiffré le contenu de leurs disques.
Une réunion s'est tenue le 28 juin à 17 heures au Secrétariat général de la défense et de la sécurité nationale (SGDN) pour faire un point sur la situation, preuve que les autorités prennent cette nouvelle vague d'attaques très au sérieux.
Un malware particulièrement... virulent
La vitesse de propagation de ce code malveillant, jusque-là indétectable, interpelle les experts. Cela tiendrait au fait que « ce rançongiciel dispose de plusieurs vecteurs de propagation. Il exploite ainsi deux vulnérabilités du protocole SMB (une faille identifiée dans le système d'exploitation Windows, désignée sous les noms de code Eternal Blue et Eternal Romance) », indique un expert de l'Anssi.
Selon Fortunato Guarino, consultant « cybercrime et data protection » chez Guidance Software, une entreprise américaine dédiée aux investigations (forensic) numériques, ce ne seraient pas deux mais trois brèches qui auraient été utilisées par les pirates informatiques. C'est en attaquant sur ces trois fronts que les hackers auraient assuré à leur virus une « propagation très rapide à travers les réseaux ». Une fois installé sur l'un des postes des réseaux ciblés, ce logiciel malveillant récupère notamment les identifiants (login, mot de passe) obtenus sur les machines infectées pour poursuivre sa route...
Le retour de la peste version 2.0
Ce nouveau virus, désigné d'abord sous le nom de NotPetya (on l'a un moment confondu avec le malware Petya détecté en mars 2016) ou celui de Petrwrap (même s'il est une variante de ce virus, apparu en mars dernier), a été rebaptisé Expetr (chez les geeks) et GoldenEye (dans le grand public). Il a été repéré par le groupe BitDefender en début d'après-midi mardi 27 juin. « Nous l'avons observé une première fois dans un logiciel de comptabilité (MEDoc), très utilisé en Ukraine. Moins de deux heures plus tard, le virus était présent sur les réseaux de 12 000 sociétés de ce pays avant de se propager en Hollande, en Russie, aux États-Unis et en France chez des clients ou des partenaires de ces entreprises », explique Bogdan Botezatu, responsable du laboratoire du groupe roumain qui a traqué le virus sans relâche depuis lors.
« Son mode de fonctionnement est particulièrement sophistiqué. Une fois dans une machine, il en prend le contrôle des serveurs des entreprises et peut ensuite progresser, de façon autonome, sans qu'on puisse le stopper », témoigne Bogdan Botezatu.
L'Ukraine, première victime
Le premier foyer d'infection se situerat dans la région de Bakhmout, dans l'est de l'Ukraine, selon les experts de la société russe Kaspersky. « Le scénario est le même à chaque fois. L'écran des ordinateurs impactés affiche un message réclamant le versement de 300 dollars (265 euros) pour débloquer la machine », poursuit Bogdan Botezatu. Tous les acteurs interrogés déconseillent de payer cette rançon, car une partie des informations cruciale des disques a été irrémédiablement encrypté. L'index des fichiers stockés est chiffré par un algorithme classé « fort », dans la terminologie des informaticiens. Pire ! Une partie de la zone d'amorçage du disque dur est effacée. "Ce virus tue les machines", résume laconiquement Bogdan Botezatu.
Ces particularités intriguent les ingénieurs informatiques. Elles les font sérieusement douter sur l'objectif recherché par les concepteurs de GoldenEye. « S'agit-il réellement de rançonner les sociétés ciblées ? Plus nous avançons dans nos investigations, plus nous pensons que les auteurs de cette attaque très complexe font en réalité partie d'un groupe, lié à un État, qui voulait porter un coup aux infrastructures de l'Ukraine », confie Bogdan Botezatu.
Les grands groupes industriels inquiets
Depuis quelques jours, nombreux étaient les experts à redouter une nouvelle vague de cyberattaques dans ce pays en confrontation avec son voisin russe. Le scénario redouté a été avéré. La Banque nationale d'Ukraine a été rudement frappée le 27 juin, le réseau de métro et l'aéroport de Kiev ont été largement paralysés. Le gouvernement ukrainien indique que la centrale nucléaire de Tchernobyl a également été ciblée. L'intrusion du virus n'aurait cependant pas perturbé le fonctionnement de l'installation. Depuis la cyberattaque conduite contre une centrale allemande, en avril 2016, le réseau ukrainien est, de fait, placé sous haute surveillance. Des experts en cybersécurité de l'Otan y conduisent régulièrement des inspections.
Il y a quelques jours, les ingénieurs du groupe slovaque ESET et ceux de l'américain Dragos Security avaient repéré, sur la Toile, un nouveau malware, appelé Industroyer, spécialement c**çu pour s'attaquer aux infrastructures d'approvisionnement électrique : une variante du virus utilisé dans l'opération BlackEnergy de décembre 2016, imputée à deux groupes de hackers russes proches du Kremlin.
Lire aussi L'armée des « trolls » de Vladimir Poutine
Et demain ?
Pour Bogdan Botezatu, « la situation est très préoccupante, car l'arsenal militaire de la NSA qui a été mis en ligne sur Internet est très dangereux. Il contient des cyberarmes effrayantes ». Même son de cloche chez Vincent Lavergne, expert en cybersécurité chez F5 Networks, qui s'attend à une multiplication d'attaques d'ampleur dans les mois qui viennent. « Au cours des 12 à 36 prochains mois, nous allons voir les cybercriminels de tous horizons utiliser les techniques pour créer une nouvelle génération d'attaques », pronostique-t-il.
Cela pourrait prendre la forme de « tempêtes régulières de logiciels malveillants » dont le repérage sera de plus en plus difficile, compte tenu du fait que ces nouveaux virus sont dotés de leurres parfaits. « Avec l'exploitation du big data, de l'apprentissage machine et de moteurs de traitement du langage naturel, les emails de phishing et les faux sites web seront quasiment indiscernables des vrais », glisse Vincent Lavergne. Les outils de traitement du langage naturel permettent déjà aux hackers d'éliminer les formulations linguistiques maladroites qui attirent l'attention sur les messages suspects... L'été promet d'être chaud pour les responsables de la sécurité informatique des grands groupes industriels européens.
Reportages, analyses, enquêtes, débats. Accédez à l’intégralité des contenus du Point >>