Accueil / TECHNOLOGIES / Cyberattaque Petya/Petrwap : un mode opératoire plus subtil que WannaCry

Cyberattaque Petya/Petrwap : un mode opératoire plus subtil que WannaCry

Après WannaCry, une nouvelle attaque au rançongiciel a déferlé sur le monde. Avec un mode opératoire assez proche, mais plus complexe.

Mardi 27 juin 2017, une nouvelle attaque par ransomware(rançongiciel) déferlait sur le monde, touchant particulièrement le gouvernement ukrainien, ainsi que diverses sociétés notamment basées en Europe (dont la France), en Ukraine et en Russie. Une attaque qui évoque WannaCry, un ransomware qui avait touché 300.000 ordinateurs quelques semaines plus tôt… mais qui agit selon un mode d’action bien plus complexe, qui garde encore quelques zones d’ombres, même pour les experts.

Un mode de propagation plus complexe

Son mode d’action ? Tout comme WannaCry, Petya/Petrwap chiffre les fichiers de votre ordinateur et le rend inutilisable, exigeant une rançon (qu’il ne faut surtout pas payer !). La mécanique mise en place est plus subtile, puisque le virus commence d’abord par réécrire le MBR (Master boot record) du disque-dur, qui agit comme un dictionnaire recensant tous les fichiers de l’ordinateur ainsi que leur localisation physique. Il y installe à la place un logiciel malveillant qui va déclencher le chiffrement de tous les fichiers de l’ordinateur dès son redémarrage, quelques secondes plus tard. Bilan des courses : les fichiers sont inaccessibles aux deux niveaux, là où ils étaient « seulement » chiffrés par WannaCry.

PROPAGATION LATÉRALE. Le programme malveillant combine plusieurs techniques d’infection, au point que l’Agence nationale de la sécurité de systèmes d’information (Anssi) le qualifie de « rançongiciel à multiples capacités de propagation ». Il utilise ainsi deux outils dérobés à la NSA, et révélés au grand jour par Wikileaks. Un seul était déjà exploité par Wikileaks, d’où la montée en puissance de l’attaque. Les deux s’appuient sur la même faille dans la gestion du réseau (Windows SMBv1), corrigée courant mars 2017 par Microsoft… à la différence près que même un ordinateur à jour peut être infecté par Petya/Petrwap, pour peu qu’il soit en réseau local avec un autre poste infecté et doté des privilèges d’administrateurs (ou même ayant gardé en mémoire des identifiants lui permettant d’accéder au réseau). Il pourra même le cas échéant désactiver les antivirus : une vraie teigne ! En cybersécurité, on parle alors de propagation latérale. C’est pour cette raison qu’il convient de déconnecter immédiatement du réseau tout ordinateur affecté.

Le virus aurait pu être intégré à un logiciel de comptabilité

De quoi expliquer comment l’attaque se propage au sein d’un réseau… mais pas la porte d’entrée empruntée. L’Anssi a déclaré que pour l’instant, elle « ne dispose pas à cette heure de preuves relatives au vecteur initial d’infection ». Les experts ne peuvent pour l’heure que formuler plusieurs hypothèses, qui pourraient aussi s’être combinées. La première est une entrée de type phishing (hameçonnage) traditionnelle, à travers la pièce-jointe d’un e-mail contenant un fichier portant l’extension .RTF, lu par Microsoft Word. Or ce format de fichier est porteur d’une faille, détectée en avril 2017 par la firme de cybersécurité FireEye, qui lui permet d’exécuter du code malveillant à l’insu de l’utilisateur.

CHEVAL DE TROIE. Autre piste envisagée, y compris par la police ukrainienne : le code malveillant aurait pu être propagé par une version corrompue du logiciel de compatibilité ukrainien MeDoc. La branche Windows Security de Microsoft a expliqué sur son blog la façon dont le dispositif de mise à jour automatique du logiciel aurait pu être piraté.

Un fichier pourra empêcher l’exécution de Petya (mais ne l’empêchera pas de se répandre)

Quelles sont les machines les plus exposées ? Il s’agit à 90% des détenteurs d’un système d’exploitation Windows 7 (SP0 ou SP1), selon l’équipe de cybersécurité d’Avira, qui ont donc tout intérêt à installer le correctif de Microsoft. Autre mesure préventive pour empêcher l’exécution de Petya sur une machine, qui ne l’empêche toutefois pas de se propager sur d’autres postes du réseau : il suffit de créer un fichier intitulé « perfc » (sans extension), puis de le déplacer dans la racine C:\Windows\, avec les droits d’administrateur.

Il n’existe pour l’instant pas de parade connue après infection, hormis la déconnexion de la machine. Et les chances de voir naître un logiciel de secours pour décrypter les fichiers est assez maigre, selon les chercheurs en cybersécurité de Kaspersky Lab. Le virus utilise en effet un chiffrage asymétrique standard AES-128 bits, un standard de la cryptographie assez difficile à cracker, puisqu’il existe 2128 de possibilités (soit 340 milliards de milliards de milliards) pour la clé de déchiffrage … De quoi s’occuper pendant plusieurs milliards d’années, si chaque combinaison devait être testée successivement.

À voir aussi

Fidji Simo : « Facebook n’est pas juste une entreprise de technologie»

La vice-présidente produit du groupe américain a connu une ascension rapide dans l’entreprise de Mark …

iPhone X : jamais conférence Apple n’avait été autant spoilée

De nombreuses fuites ont a priori révélé l’ensemble des annonces de Tim Cook de ce …

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *