«On dit souvent de l’Ukraine qu’elle est le camp d’entraînement des guerres cyber.» Pour Gerome Billois, associé chez Wavestone, que ce pays d’Europe de l’Est subisse de nouvelles attaques informatiques dans un contexte de fortes tensions avec la Russie est tout sauf une surprise. Mais la découverte faite par Microsoft a de quoi inquiéter : parmi les récents coups informatiques assénés figure une attaque destructrice, qui affiche des similitudes avec le virus NotPetya, l’un des épisodes les plus dévastateurs de l’histoire de la cyber.
«Vendredi [14 janvier], on a observé que des sites gouvernementaux ukrainiens étaient attaqués, avec des modifications de contenus, l’affichage de messages portant sur d’anciens conflits entre l’Ukraine et la Pologne, et la menace de nouvelles révélations, rapporte Gerome Billois. Puis dimanche, Microsoft a révélé avoir observé une attaque beaucoup plus dangereuse, qui a la capacité de rendre les ordinateurs touchés complètement inopérants.»
Aucun mécanisme de récupération après paiement
Dans sa note de blog, le géant américain explique avoir découvert la présence d'un logiciel malveillant qui a les apparences d’un rançongiciel classique, mais qui n’est doté d'aucun mécanisme de récupération des logiciels et données après paiement de rançon. Autrement dit : il s’agit d’une arme purement destructrice, identifiée sur des dizaines de systèmes d’information appartenant à des organisations gouvernementales et des ONG en Ukraine.
«Quand on a vu la première attaque, celle sur les sites Internet qui n’était pas très sophistiquée, on pouvait supposer qu'elle avait été faite par des groupes d’activistes soutenant la Russie, analyse Gerome Billois. Mais l’attaque destructrice, elle, rappelle énormément celle qui avait visé l’Ukraine en 2017 et qui a été officiellement attribuée à la Russie par l’Union européenne.» L’expert fait ici référence à l’attaque NotPetya, du nom de ce logiciel malveillant qui avait infecté plus de 2000 entreprises dans le monde, dont l’industriel Saint-Gobain et la SNCF en France. Alors que la Maison Blanche a évalué le coût de NotPetya à plus de 10 milliards de dollars, il a été admis a posteriori que son but était la déstabilisation de l’Ukraine.
Un déploiement manuel moins contagieux
«Les attaques pour modifier le contenu de sites web ou pour du vol de données sont ultra-courantes, mais détruire des PC sans demander de rançon derrière, c’est beaucoup rare, considère l’associé chez Wavestone. Il faut remonter à 2017 et NotPetya pour retrouver ce cas de figure.» Avec tout de même une nouvelle rassurante. Alors que cet ancien virus était capable de se propager automatiquement d’un ordinateur à un autre, d'où son extrême contagiosité, l’attaque observée en ce mois de janvier par Microsoft ne se réplique pas de la même manière. «Son mode de diffusion semble plus manuel, ce qui signifie qu’elle n’a pas la même portée et qu’elle devrait avoir des implications moindres qu’en 2017», observe Gerome Billois.
Pour l’instant, l’Ukraine n’a pas fait état de dégâts causés par le nouveau virus destructeur. Du bluff ? Une réalité liée à un manque de temps des attaquants ? Ou leur volonté de seulement mettre la pression ? Difficile à dire. Mais alors que Washington alertait mercredi 19 janvier sur la possibilité d’une attaque imminente de l’Ukraine par la Russie, il y a fort à parier que l'arme cyber n’a pas fini d’être utilisée.
