Petya ou NotPetya, une attaque d’envergure paralyse des milliers d’ordinateurs

Petya ou NotPetya, une attaque d'envergure paralyse des milliers d'ordinateurs

Un peu plus d’un mois après l’attaque WannaCry/WannaCrypt qui avait fait de nombreuses victimes l’histoire semble se renouveler. Depuis le mardi 27 juin on assiste à une nouvelle attaque de grande envergure rappelant fortement le précédent épisode. Et pour cause, elle utilise la même faille et le même procédé.

L’attaque a débuté en touchant tout d’abord des entreprises en Ukraine : métro, banques, administrations, grandes surfaces ou encore des fournisseurs d’énergie. Le système de contrôle de l’ancienne centrale nucléaire de Tchernobyl a aussi été impactée obligeant les responsables à opérer manuellement. Dans un tweet rapportant les premières analyses Kaspersky indiquait hier que la Russie était aussi fortement touchée comme d’autres pays dont la Pologne, l’Italie ou l’Allemagne.

Current situation of Petrwrap/wowsmith123456 ransomware – percentage of infections by country. pic.twitter.com/Q42WPlBlja

— Costin Raiu (@craiu) 27 juin 2017

La France n’a pas été épargnée et des entreprises comme la SNCF ont indiqué subir l’attaque mais sans que cela impacte son fonctionnement pour l’instant. On peut aussi citer Saint-Gobain ou encore le groupe de grande distribution Auchan mais uniquement dans ses infrastructures en Ukraine.

Comment fonctionne l’attaque ?

Comme dans l’épisode WannaCry/WannaCrypt il s’agit ici d’un ransomware (rançongiciel en français). Tous les détails ne sont pas encore connus mais il semblerait s’introduire en utilisant une ruse pour faire ouvrir un email piégé à un utilisateur d’une entreprise. Lorsqu’un premier ordinateur est infecté, le malware se propage rapidement à toutes les machines du réseau.

Lorsqu’une machine est infectée le logiciel malveillant chiffre les fichiers présents sur l’ordinateur pour les rendre inaccessibles. Au redémarrage suivant l’écran affiche simplement un message demandant le paiement d’une rançon de 300 dollars à payer en Bitcoin en suivant une procédure particulière. Le message s’affiche en rouge sur fond noir comme on peut le constater sur les nombreuses images postées sur les réseaux sociaux.

un supermarché à Kharkov après une attaque de #Petya #ransomware pic.twitter.com/5IRvgOGvvb

— point ligne plan (@AgencePLP) 27 juin 2017

OTP Bank in Ukraine pic.twitter.com/R5rKppQkaW

— Mikhail Golub (@golub) 27 juin 2017

L’argent doit être envoyé dans un premier temps puis les informations d’accès à la somme transférées par email. L’adresse utilisée pour réceptionner l’argent a depuis été désactivée par le fournisseur, il n’est donc plus possible de procéder au paiement.

Une faille connue et comblée depuis mars 2017

Ce n’est pas un hasard si l’attaque présente des similitudes avec les précédentes. Le malware est en effet très proche d’autres ransomware connus. Pendant un temps les experts en sécurité ont évoqué une variante de Petya, un malware connu depuis 2016 et qui aurait été modifié pour cette nouvelle attaque.

Selon Kaspersky Lab il s’agit d’un nouveau ransomware qui n’avait jamais été en circulation et l’ont baptisé pour cette raison NotPetya. Il utiliserait plusieurs vecteurs d’attaque et un exploit d’EternalBlue, c’est à dire une faille utilisée pendant un temps par la NSA et qui avait fini par être divulguée en avril 2017 par un groupe de hackers.

Bien que la faille ait été comblée bien avant cette date, cela n’a pas empêché le succès de l’attaque WannaCrypt au mois de mai ni celle en cours. Les ordinateurs touchés sont des systèmes Windows sur lesquels les administrateurs n’ont pas installé les patchs de sécurité proposés depuis le mois de mars 2017 par Microsoft via le bulletin de sécurité MS17-010.

Comment se protéger ?

La faille semble en priorité viser les entreprises et administrations, ce qui explique l’écho fait à cette attaque qui a touché au moins 2000 utilisateurs. Si les particuliers semblent moins concernés c’est que les mises à jour de sécurité sont installées automatiquement sur leurs ordinateurs par Microsoft contrairement aux entreprises qui préfèrent généralement choisir et installer manuellement les patchs de sécurité.

Il faut donc s’assurer avant tout que toutes les mises à jour Windows sont installées. Que ce soit ou non le cas tous les conseils habituellement diffusés pour lutter contre les ransomwares et autres virus sont valables, notamment lorsqu’il s’agit d’ouvrir des pièces jointes ou des fichiers récupérés sur internet. Un antivirus à jour doit bien évidemment être installé sur les machines concernées, même lorsque celles-ci ne sont pas reliées directement à internet.

En détail : 8 mesures pour se protéger des ransomware et récupérer ses fichiers

Enfin, la meilleure méthode de protection contre ce type d’attaque reste la prévention. Des sauvegardes des fichiers importants doivent être effectuées de façon régulière sur un support externe et non relié à l’ordinateur. En cas d’attaque, si une machine est touchée, les fichiers bloqués par le malware seront ainsi récupérables.

Il faudra encore plusieurs jours pour connaitre l’ampleur des dégâts. Le parquet de Paris a ouvert une enquête pour accès et maintien frauduleux dans des systèmes de traitement automatisé de données, entrave au fonctionnement de ces systèmes, extorsions et tentatives d’extorsion. L’ANSSI, Agence nationale de la sécurité des systèmes d’information, propose quant à elle un bulletin d’alerte avec des mesures préventives et réactives pour les entreprises.