Cyberattaque : comment un virus informatique peut mettre à genoux le monde entier

 

Michael Bittan, associé responsable des activités de gestion des risques cyber chez Deloitte explique comment il est possible d’infecter grâce à un virus des millions d’ordinateurs et pourquoi ce n’est pas prêt de s’arrêter.

Sources : Challenges Astrid Landon


Une cyberattaque touche depuis ce lundi des millions de PC fonctionnant sous Windows. Du métro de Kiev à la centrale nucléaire Tchernobyl, l’attaque est ” sans précédent “, a affirmé Mounir Mahjoubi, secrétaire d’Etat chargé du Numérique. Associé responsable des activités de gestion des risques cyber chez Deloitte, Michael Bittan revient sur l’origine du virus et les précautions à prendre afin de se prémunir d’une attaque d’une telle envergure.

D’où vient ce virus?
L’attaque a commencé en Ukraine et en Russie puis s’est répandue. Cependant, il est impossible de connaître exactement son origine. Il y a beaucoup de suppositions. L’une d’elles mentionne la Corée du Nord mais, nous considérons que cela reste une rumeur. Les interventions que nous conduisons actuellement, en rapport avec cet incident, nous laissent à croire qu’au moins une partie des attaques n’ont absolument aucun lien avec la Corée du Nord. Encore une fois, il est difficile de définir précisément le pays voire même la région d’où proviendrait le virus. Les pirates utilisent des zones de rebond ce qui me rend sceptique quant à la possibilité de jamais découvrir la provenance unique de l’attaque.

Il est impossible de remonter à l’instigateur également en raison du site utilisé pour le paiement. Sur Bitcoin, on ne donne pas ses informations bancaires ce qui fait qu’il est impossible de remonter jusqu’à l’origine, la provenance. Il n’y a pas de possibilité de tracer les choses. L’argent passe de mains en mains, de pays en pays, il y a des Etats utilisés comme passerelles. C’est finalement l’équivalent XXIème siècle de la rançon en liquide sous forme de petites coupures.

Le virus utilise la même vulnérabilité du système d’exploitation Windows que son parent WannaCry. Une vulnérabilité est une faille. Il en existe des centaines dans n’importe quel système d’exploitation. Si on prend le smartphone, la dernière mise à jour Android rectifiait 101 vulnérabilités. Il y a tous les jours des corrections.

Suite à l’attaque WannaCry, Microsoft avait envoyé un patch à ses utilisateurs. Un patch est un outil qui corrige la vulnérabilité. Tous les utilisateurs qui ont mis à jour leur système ont corrigé grâce au patch la vulnérabilité qui avait permis l’attaque WannaCry. Seulement, au sein de grandes entreprises, lorsque l’on reçoit un patch il y a toute une procédure à suivre afin de le tester avant de l’installer sur tous les PC. Malheureusement, c’est une procédure qui est parfois trop chronophage et laisse le temps à des pirates de réutiliser la même faille, dans le cas qui nous intéresse cette faille s’appelle Petya.

De quelle manière se déroule l’infection du système d’exploitation?

Le logiciel est semblable à WannaCry dans la mesure où c’est ce qu’on appelle un ‘ransomware’, c’est-à-dire que le virus entre par la faille Petya puis chiffre vos données puis demande de payer une rançon afin de les déchiffrer. Le chiffrage des données est fait de manière quasi transparente, l’utilisateur ne s’en rend absolument pas compte. Une fois le chiffrage terminé, l’ordinateur redémarre. Lorsqu’il se rallume, une image surgit sur l’écran du PC, expliquant qu’il faut payer la rançon de 300 dollars via le site Bitcoin afin de récupérer les données déchiffrées sans quoi il est impossible d’utiliser le PC car il est entièrement bloqué.
Si vous payez, vous recevez un code par SMS qui vous permet normalement de déverrouiller votre ordinateur. Seulement, peu de gens qui ont payé lors de précédentes attaques n’ont en fait reçu le code. Si vous décidez de ne pas payer, le meilleur moyen est de demander à un professionnel qu’il vous réinitialise la totalité du PC ce qui signifie que si vous aviez des éléments uniquement enregistrés sur cet ordinateur, vous perdez tout. C’est pour cette raison que l’on travaille de plus en plus au sein des entreprises sur des espaces partagés déjà protégés contre ce type d’attaque. En tant qu’expert, je conseille de ne jamais payer car même si vous le faites vous n’êtes pas à l’abri que d’autres virus aient été déposés dans le système en vue d’une attaque ultérieure. En règle générale, quand le PC est touché il est condamné à être réinitialiser.

Afin de se prémunir de ce genre d’attaques il suffit de suivre des règles basiques: former et sensibiliser les utilisateurs à la sécurité, éviter de cliquer sur des mails d’inconnus qui vous disent que vous avez gagné au loto, ne pas laisser un inconnu se servir de votre ordinateur et surtout avec votre identité,… Cela permet de se prémunir de 80% des attaques de ce type. L’industrie numérique est basée sur la confiance, vous ne laisseriez pas entrer un inconnu chez vous et il est préférable de faire de même pour les outils informatiques.

Que cherchent les pirates qui ont provoqué cette attaque?

Je ne m’explique pas la raison de cette attaque. Déjà en ce qui concerne l’attaque WannaCry il y a un mois, on était perplexe à propos de l’intention initiale. Etant donné les gains financiers générés on s’était demandé si ce n’était pas plutôt une opération de force pour démontrer une certaine capacité, une certaine puissance.

En ce qui concerne l’attaque d’hier, il ne s’agit pas pour moi d’une démonstration de force car elle utilise la même faille que WannaCry et peut paraître moins virulente qu’elle en fonction des pays. Ce n’est pas non plus une opération purement pécuniaire il semblerait que l’adresse mail utilisée pour recevoir les paiements n’est plus en fonction depuis ce matin (ce qui signifie qu’il n’est définitivement plus possible de récupérer les informations chiffrées puisqu’il n’est plus possible de payer la rançon). C’est encore moins une revendication politique puisque l’attaque touche le métro de Kiev en passant par des banques, des grands groupes et la centrale nucléaire de Tchernobyl, or il n’y a aucun lien entre ces cibles.

Je pense réellement que ce type d’attaques est voué à se reproduire. Ce n’est que le début car les pirates ont testé leurs capacités à exécuter des attaques de grandes envergures. Le concours est lancé, chacun va vouloir lancer sa propre attaque pour se rendre compte de capacité potentielle de nuire. Le pire est à venir.

En revanche, je ne pense pas que n’importe qui puisse engendrer ce type d’attaque. Ce sont plutôt des organisations criminelles ou étatiques qu’une personne seule à mon sens. Une personne seule ne pourrait créer un virus avec une durée de vie assez longue afin qu’il ne soit pas tout de suite contré et ait le temps d’agir. C’est un travail de longue haleine, il faut la capacité de construire un environnement technique propice à ce type d’attaques.

LEAVE REPLY

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *