Le Petya nouveau est arrivé !

Après Wannacry, (re)voici Petya. Enfin, pas tout à fait : le Petya nouveau diffère sensiblement de la cuvée 2016 et aura droit à un patronyme dédié : NotPetya ? GoldenEye ? PetrWrap ? ExPetr ? Ce dernier pourrait tenir la corde, mais nous utiliserons ici arbitrairement « NotPetya ».

Les ransomwares nous sont maintenant familiers. Ils consistent à chiffrer le contenu d’un disque et à ne délivrer la clef de déchiffrement que contre rançon. Mais un point de vue domine : NotPetya ne serait pas un exactement ransomware mais plutôt un wiper. Euh ? La finalité du ransomware est pécuniaire, l’intention du wiper est guerrière. Le but est de détruire. L’affirmation s’appuie sur la vitesse de déploiement et sur le contraste entre le professionnalisme du développement du malware (capacités de propagation sophistiquées) et la légèreté de la procédure sans conviction réelle pour la moisson de rançons.

Environ vingt mille victimes selon les éditeurs d'antivirus, ce qui n'est pas si élevé, avec une très nette appétence pour l’Ukraine. Les dérèglements y ont touché les administrations, les aéroports et autres services de l’État. Les banques et leurs distributeurs de billets étaient bien en peine de délivrer quoi que ce soit tout comme les automates pour tickets de métro. La paralysie a gagné également le secteur énergétique avec Kyivenergo et Ukrenergo sur fond d’ordinateurs coupés.

Point alarmant, le site de la centrale nucléaire de Tchernobyl figure au nombre des victimes. Heureusement cette mouture du virus n’a atteint « que » l’automatisation de systèmes de mesure et la parade consiste à faire les mesures en manuel. Mais la prochaine fois ?

Le virus s’est ensuite propagé, ignorant superbement les frontières physiques : Etats-Unis, Russie, Australie, Europe, quel beau voyage. Le tableau de chasse français affiche avec un degré plus ou moins affirmé de résistance ses trophées avec Auchan, Saint-Gobain, la SNCF, BNP.

L’infection est apparue en Ukraine. Plusieurs explications semblent vraisemblables aux yeux des spécialistes dont le phishing mais également la contamination depuis un logiciel de comptabilité très apprécié localement dénommé MeDoc, à la faveur d’une mise à jour. L’éditeur récuse cette possibilité, Microsoft la soutient. On nage par ailleurs en pleine perplexité quant aux pirates eux mêmes. Le gouvernement ukrainien a immédiatement désigné la Russie mais ce type d’attaque jouit d’un niveau d’anonymat élevé. Un paquet IP sait emprunter des chemins détournés pour déboucher frais comme une rose dans une nouvelle identité en n’importe quel point du globe. Les plus facétieux y joignent des fake empreintes pour brouiller les pistes. L’identification formelle du pirate ne peut pas s’appuyer sur les traces laissées sur Internet, elles ne peuvent que suggérer des pistes qui seront par la suite confortées ou invalidées par une enquête classique.

NotPetya utilise une adaptation de EternalRomance qui commence par remplacer les premiers secteurs du disque dur par son code malveillant détruisant ainsi le répertoire du disque. À ce stade, tout n’est pas complètement perdu, vos informations sont peut-être difficiles à récupérer mais toujours présentes sur le disque. Le système redémarre alors et sous couvert de reconstruction chiffre votre précieux silo de données. Et là, c’est « Ooops, your important files are encrypted (…)  ». Dans le cas de NotPetya, la procédure en vue de la restitution des données est curieusement fragile. Elle utilise une adresse mail classique (wowsmith123456@posteo.net) qui a immédiatement été bloquée vous empêchant ainsi d’indiquer à l’assaillant que vous vous étiez acquitté de la rançon. Céder au chantage est sans effet, vous ne pourrez pas le faire savoir au pirate. La délivrance de l’hypothétique clef de déchiffrement est alors compromise. Encore heureux  que vous disposiez de sauvegardes récentes (… ?)

Les mécanismes de propagation sont sophistiqués. Le virus va jusqu’à sonder les tréfonds des machines pour y récupérer d’éventuels couples identifiant/mot de passe de voisins de réseau – trop de droits à trop de machines ? - ouvrant ainsi l’accès à des machines parfaitement mises à jour ou pas. Alors que Wannacry se cantonnait à l’exploitation de la faille EternalBlue, NotPetya utilise (entre autres ?) EternalRomance. La différence majeure est que le premier officie au niveau Internet et le second cible les réseaux locaux. Les deux utilisent les mêmes malfaçons (connues également sous la complaisante appellation de « bugs ») du protocole « SMB » de Microsoft dont la NSA a tiré une famille d’outils aux noms pourtant rassurants (EternalBlue, Eternalchampion, EternalRomance, EternalSynergy, DoublePulsar, ArchiTouch et SMBtouch) « fuités » par les Shadow Brokers, mis aux enchères et finalement proposés en distribution libre.

Alors, quelques réflexions inspirées par ces évènements :

  • L’utilisation d’un wiper est délicate : l’attaque destinée à un ennemi peut ne pas se cantonner à cette cible et par effet de bord contaminer l’émetteur, l’arroseur étant ainsi arrosé. Le mode opératoire de NotPetya semble tenir compte de cette contrainte avec un mode de diffusion dédié aux réseaux locaux même si dans les faits le débordement sur Internet a été immédiat. Quoi qu’il en soit l’hypothèse du wiper semble tenir.
  • Ne pas ouvrir un fichier douteux est une bonne protection contre le phishing. Mais si j’ai un sourire condescendant face à une facture reçue sur ma messagerie personnelle, la même facture arrivant au service comptabilité d’une grande société n’éveillera pas la même méfiance. Ne crions pas Haro sur les utilisateurs trop vite.
  • Enfin j’insiste sur un dernier point, le plus important à mes yeux. L’origine du problème est une malfaçon dans Windows. Cette malfaçon a été détectée a posteriori par la NSA alors qu’un industriel digne de ce nom aurait dû le faire AVANT mise sur le marché. Fait aggravant, l’éditeur gère l’obsolescence en refusant d’assumer la correction de ses erreurs au mépris des investissements de ses clients pour des développements propriétaires. Ajoutons que se dédouaner par des mises à jour régulières est faire peu de cas du coût et de la faisabilité de leurs implémentations dans des processus opérationnels. Ne crions pas Haro sur les utilisateurs trop vite.

 

 


< Revenir à la newsletter

Auteur: 
Jacques Baudron - jacques.baudron@ixtel.fr