Les services de sécurité informatique sont à nouveau sur les dents après l’émergence d’un nouveau ransomware qui s’est diffusé comme une trainée de poudre ce mardi sur au moins 12 000 ordinateurs de plusieurs grandes multinationales dont le géant pharmaceutique Merck, la firme alimentaire Mondelez, le publicitaire WPP ou encore le transporteur de conteneurs Maersk : 80 grands groupes seraient concernés. Comme WannaCry, qui avait infecté des dizaines de milliers de machines en mai, ce nouvel malware s’appuie sur des « exploits » mis au point et utilisés par la NSA et qu’un collectif de hackers connu sous le nom de « Shadow Brokers » a mis sur la place publique en avril. Le malware demande de transmettre une preuve de paiement de l’équivalent en bitcoins de 300 dollars à une adresse email pour débloquer les fichiers du système infecté. On se souvient que WannaCry avait été stoppé net grâce à un informaticien britannique anonyme qui, ayant repéré que le code faisait appel à une URL non occupée, avait eu l’intuition d’acheter le nom de domaine correspondant, activant ce faisant un interrupteur (« killswitch ») intégré dans le code pour permettre à ses auteurs de le désactiver à distance.
Le malware de cette semaine ne contient pas de « killswitch » de ce genre. Pire, après que l’adresse email indiquée dans le message de demande de rançon (une méthode inhabituelle pour ce type de malware en raison de sa vulnérabilité) a été désactivée, les entreprises qui souhaitent payer cette somme pour obtenir le déverrouillage de leurs fichiers sont privées de cette solution. Elles vont donc devoir attendre que les firmes de sécurité terminent leurs analyses et diffusent des kits de désinfection. Contrairement à Petya qui l’avait précédé, ce malware encrypte la totalité des fichiers d’un système après avoir forcé un redémarrage, ce qui explique l’instruction donnée aux employés du cabinet juridique DLA Piper de débrancher et éteindre tous leurs ordinateurs.
Les premiers descriptifs des exploits contenus dans le malware et de leur modus operandi suggèrent que les auteurs de cet assemblage n’ont rien laissé au hasard et que leur motivation première était de semer le chaos et la destruction plutôt que de maximiser leurs gains. L’infection est semble-t-il partie d’Ukraine, partant de la mise-à-jour d’un logiciel de comptabilité appelé MeDoc. Ce qui frappe est l’agilité du cocktail de dispositifs malfaisants, qui utilise certes des vulnérabilités identifiées de Windows mais semble ensuite capable de se propager à l’intérieur du réseau infecté, de voler des bases d’identifiants d’utilisateurs, ce qui permet aux machines infectées de s’en servir pour continuer de propager l’infection. Celle-ci se manifestait par des sites web injoignables (c’était le cas pour WPP), tandis que Maersk a signalé qu’une partie de ses réseaux informatiques était inopérant.
Du fait de son analogie avec un ransomware précédent appelé Petya, celui-ci a été appelé dans un premier temps « PetyaWrap » par certains analystes. Depuis, le consensus est qu’il s’agit d’un tout autre programme. Tous semblent d’accord sur un point : c’est la puissance des outils de la NSA diffusés en avril qui a favorisé cette récente série d’assauts informatiques, en donnant à des hackers relativement peu experts les moyens d’assembler des dispositifs sophistiqués capables d’infliger des dégâts considérables. Le chercheur en sécurité informatique Kevin Beaumont a commenté sur Twitter que, selon toute apparence, l’équipe qui l’a mis au point « disposait d’un budget de développement ». L’Ukraine a été particulièrement affectée, y compris les dispositifs de surveillance de la radiation à la centrale de Tchernobyl. Mais la Russie, la Pologne, l’Italie, l’Espagne, la France, l’Inde et les États-Unis ont eux aussi été touchés.