X

NotPetya : wiper ou pas wiper ?

Et si NotPetya n’était pas un ransomware ? Et s’il s’agissait d’une couverture pour un programme ayant pour seul but de détruire des données d’entreprises et de provoquer le chaos ? C’est la thèse explorée par de plus en plus de sociétés de cybersécurité.

NotPetya, ExPetr, PetrWrap, Petya… Le programme malveillant qui a frappé l’Ukraine et l’Europe, puis le reste du monde, porte autant de noms qu’il existe de théories à son sujet. Mais on commence à y voir plus clair. L’hypothèse M.E.Doc se confirme, après la perquisition mercredi des locaux de l’éditeur du logiciel de compta, Intellect Service, par la police ukrainienne. Plusieurs serveurs ont vraisemblablement été saisis.

Talos décrit sur son blog le mode opératoire de l’infection et l’implication de cette société ukrainienne. Selon la filiale sécurité de Cisco, les attaquants ont utilisé des identifiants volés à Intellect Service pour accéder à leurs infrastructures et « manipuler le serveur de mise à jour pour M.E.Doc pour transférer des connexions vers un serveur contrôlé par [eux] ».

Destruction de blocs

Utilisant la mise à jour de ce logiciel revendiquant un million d’utilisateurs pour la seule Ukraine, NotPetya a pu être déployé et infecter simultanément de nombreuses entreprises. Mais là une nouvelle question se pose : s’agit-il d’un ransomware ? D’abord présenté comme tel, le programme malveillant était peut-être d’une toute autre nature. Selon quelques experts, NotPetya est en réalité un wiper, un programme conçu pour détruire ou rendre définitivement inaccessibles des données.

C’est la thèse privilégiée par Comae. Dans un post, le chercheur Matthieu Suiche pointe une différence majeure entre le ransomware Petya de 2016 et le NotPetya de 2017. Si le premier modifiait le disque de manière à pouvoir chiffrer et déchiffrer les données, le second va écraser un certain nombre de blocs sectoriels du disque. Toutefois ces blocs sont généralement inutilisés sur la plupart des machines. Petya viserait-il des cas particuliers ou bien s’agit-il d’une vulgaire erreur de programmation ?

 

Pas de clé de déchiffrement

Mais une autre expertise va dans le sens de la théorie « wiper ». On se rappellera que l’adresse mail utilisé par les attaquants avait été bloquée dans les premières heures de la propagation du ransomware, sans que cela semble grandement le perturber. Normal, répond Kaspersky, quand bien même ils auraient obtenu moult rançons, les auteurs de NotPetya auraient été bien incapables de fournir une clé de déchiffrement.

 

L’identifiant d’installation, indispensable à l’obtention de la clé, n’est en fait, selon l’éditeur russe, qu’un amas de caractères généré aléatoirement, d’où il est impossible de retirer la moindre information permettant de déchiffrer le disque. « Ce que cela signifie ? D’une part, même si la victime paie, elle ne récupérera pas ses données. Deuxièmement, cela renforce la théorie selon laquelle le principal objectif d’ExPetr n’était pas financier, mais bien destructeur ».

Des erreurs de code ?

Du côté de F-Secure cependant, on remet en cause cette théorie. Comae et Kaspersky reconnaissent tous deux que leurs découvertes peuvent être des erreurs dans la programmation de NotPetya, des bugs. F-Secure va plus loin en estimant que NotPetya n’est pas un wiper. « Quelle serait l’utilité d’un outil pratiquant une stratégie de terre brûlée de manière indiscriminée » s’interroge Sean Sullivan. Cette impossibilité de déchiffrement ainsi que la destruction de partition s’expliqueraient, selon la société spécialisée en cybersécurité, par le fait que la version de NotPetya qui a fait parler d’elle la semaine dernière n’est en fait qu’une ébauche d’un ransomware totalement fonctionnel.


Pour en savoir plus sur les conséquences de NotPetya et sur les moyens de se prémunir contre ce type d’attaque, L’Informaticien organise un webinaire spécial "L'1FO LE DIRECT-IT" mardi 11 juillet à 11h. Posez vos questions aux experts ! Inscription gratuite via ce lien.





Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider
Autres infos Ransomware

Actuellement à la Une...
Dossier L'1FO

Stockage Cloud : des services en pleine mutation

Tout le monde utilise à titre privé ou professionnel un service de stockage dans le cloud. L’espace de stockage est le paramètre le plus évident pour comparer ces services. Néanmoins bien d’autres critères doivent être considérés pour choisir le cloud auquel on accordera toute sa confiance. Article paru dans le n°158 de L'Informaticien.

Afficher tous les dossiers
Offres d'emploi
RSS
12345678910Last

Lancez votre recherche sur la rubrique Emploi avec notre partenaire



LIVRES BLANCS

Une étude Ponemon sur les coûts liés aux failles de sécurité en France, un Livre Blanc 3M France

IBM et Ponemon Institute ont réalisé une étude en 2016 sur les coûts liés aux brèches de sécurité. L'étude a été accomplie dans de nombreux pays dont la France. Il ressort de cette étude que les coûts ont augmenté en passant de 134 € à 141 € par personne. Et, en moyenne, le coût pour une entreprise s'élève désormais à 3,4 millions d'euros. 


Les nouvelles possibilités du Service Management, un Livre Blanc easyvista.

La transformation numérique des entreprises offre de nouveaux champs d’actions en matière de services rendus aux utilisateurs et ce afin d’améliorer leur vie quotidienne et leur productivité. 


Infrastructure IT gérée dans le cloud, un Livre Blanc Cisco Meraki et Inmac-WStore.

Ce Livre Blanc traite des tendances informatiques modernes et explique comment les produits Cisco Meraki fonctionnent en synergie pour fournir une solution informatique globale, fiable et complète pour les entreprises.


Comment choisir la solution de surveillance réseau adéquate ?  Un Livre Blanc Paessler.

Pour que son infrastructure informatique lui donne entière satisfaction, toute entreprise doit pouvoir compter sur un réseau haute performance. Pour maintenir la fluidité des procédures, tous les processus doivent fonctionner de manière fluide, y compris les communications internes et externes entre sites de l’entreprise, ainsi qu’avec les clients et partenaires. Les dysfonctionnements et pannes des processus opérationnels provoquent facilement des pertes de temps et surtout d’argent.


Stockage Flash : 1 000 utilisateurs témoignent, un Livre Blanc HPE.

1 000 responsables informatiques ont été interrogés à l'initiative d'HPE afin de relater les "surprises", bonnes et mauvaises qu'ils ont rencontré lors du déploiement puis l'utilisation de solutions de stockage Flash. L'essentiel des configurations et des utilisations ont été passées en revue pour ce qui constitue la plus grande enquête jamais réalisée sur ce thème et qui permet à chacun de préparer au mieux sa propre voie d'évolution, ceci en évitant les écueils qu'ont pu rencontrer les professionnels interrogés. 


Tous les Livres Blancs
Le Kiosque

SMART CITY : de l'IT pour piloter les villes - Maîtrisez Windows 10 CREATORS UPDATE - Mettons les robots dans les nuages ! - Comment le BACKUP se réinvente - Créez un projet ARDUINO avec Circuito - Rencontre avec David Fayon : « Comment la France peut devenir la tête de pont du numérique en Europe »...

 

STOCKAGE CLOUD : un casse-tête pour la DSI ! - Règlement européen RGPD : la parole aux entreprises qui s'y mettent - Microsoft Build : toutes les annonces - Wanacrypt : récit d'une cyberattaque historique - French Tech Brest+ - Nginx, nouveau standard de serveur web - Chatbots : l'interface de demain ?...

 

Afficher tous les derniers numéros
Derniers commentaires
Fil AFP
Techno et Internet
Le président américain Donald Trump et le PDG d'Apple, Tim Cook, lors d'une rencontre à la Maison Blanche, le 19 juin 2017 à WashingtonLe président américain Donald Trump a indiqué mardi que le géant informatique Apple lui avait promis d'ouvrir trois usines aux Etats-Unis, dans un entretien au Wall Street Journal (WSJ). [Sommaire]

Le géant technologique Google demande à la justice américaine de bloquer une décision de la Cour suprême canadienne qui le contraint à déréférencer au niveau mondial des pages de résultats de recherches sur internetLe géant technologique Google a demandé à la justice américaine de bloquer une décision de la Cour suprême canadienne qui le contraint à déréférencer au niveau mondial des pages de résultats de recherches sur internet, même lorsque celles-ci ne sont pas effectuées au Canada. [Sommaire]

Une publicité d'Adobe dans la presse américaine pour inciter Apple à autoriser son logiciel Flash Player sur ses appareils, le 13 mai 2010Le groupe informatique américain Adobe a annoncé mardi l'arrêt d'ici trois ans de son logiciel Flash Player, qui permet depuis près de 20 ans de lire des vidéos et des jeux vidéos. [Sommaire]

Le milliardaire de la Silicon Valley Elon Musk (SpaceX, Tesla) à Washington DC le 19 juillet 2017L'intelligence artificielle représente-t-elle un danger pour l'humanité ? Les milliardaires de la Silicon Valley Elon Musk (SpaceX, Tesla) et Mark Zuckerberg (Facebook) ne sont pas du tout d'accord, comme l'illustrent leurs échanges sur les réseaux sociaux. [Sommaire]

Paint nest pas mort, affirme MicrosoftFace à l'émotion provoquée par l'annonce de l'arrêt programmé de son vieux logiciel de dessin et de traitement d'image Paint, né en 1985 en même temps que Windows, Microsoft a précisé qu'il resterait disponible sur son Windows Store. [Sommaire]

La France souhaite régler à l'amiable son différend fiscal avec GoogleLe gouvernement français a annoncé une possible "transaction" pour régler le différend fiscal qui l'oppose à Google. Mais les chances de voir l'Etat obtenir gain de cause semblent limitées, depuis l'annulation par la justice du redressement infligé à la firme américaine. [Sommaire]

Les ventes d'accessoires pour tablettes, qui avaient fléchi l'an passé, ont rebondi de 71%Le groupe suisse Logitech, spécialisé dans les accessoires informatiques, a publié mardi des chiffres meilleurs qu'attendu pour le premier trimestre, notamment grâce aux produits pour tablettes et aux équipements de vidéo-conférence, et a relevé ses objectifs.  [Sommaire]

Une employée de Bamilo, site de commerce en ligne iranien, à Téhéran, le 9 juillet 2017Leurs noms sont peu connus mais les services qu'ils proposent immédiatement reconnaissables: Snapp est la version iranienne d'Uber, Digikala est son Amazon et Pintapin son Booking.com. [Sommaire]

Bernard Charlès, dirigeant de Dassault Systèmes, lors du lancement du 3DExperience Lab, à Velizy-Villacoublay en banlieue parisienne, le 9 novembre 2015L'éditeur français de logiciels industriels Dassault Systèmes a annoncé mardi avoir conclu avec Boeing le plus gros contrat de son histoire, afin de modéliser toute la chaîne de l'avionneur américain, de la conception à la production et au service après-vente. [Sommaire]

Bruxelles a infligé une amende record à  Google pour abus de position dominante, d'un montant de 2,42 milliards d'eurosAlphabet, la maison mère de Google, a publié des résultats trimestriels supérieurs aux attentes mais plombés par l'amende infligée en juin par l'Union européenne pour abus de position dominante. [Sommaire]

Toutes les dépêches AFP

AgendaIT

BLACK HAT

Événement majeur mondial sur la sécurité de l'information la conférence Black Hat USA a lieu du 22 au 27 juillet 2017 à Las Vegas (Mandalay Bay). Organisé par UBM.

IFA

Le plus grand salon professionnel européen de l'électronique grand public a lieu à Berlin du 3 au 6 septembre 2017. Organisé par Messe Berlin.

SALONS SOLUTIONS

Les Salons Solutions - ERP, CRM, BI et Big Data, E-Achats, Demat'Expo, Serveurs & Applications - se tiennent du 26 au 28 septembre 2017 à Paris, Porte de Versailles. Organisés par Infopromotions.

MICROSOFT EXPERIENCES'17

Deux jours de conférences et 10000 m2 d'espaces d'échange pour s'immerger dans les innovations du numérique les 3 et 4 octobre 2017 à Paris, Palais des Congrès de la Porte Maillot. Organisé par Microsoft.

SMART CITY + SMART GRID

Exposition, contérences et ateliers, le salon de la ville et des territoires intelligents, durables et connectés Smart City + Smart Grig se tient les 4 et 5 octobre 2017 à Paris, Porte de Versailles (Pavillon 2.2). Organisé par Infopromotions.

LES ASSISES

Grand rendez-vous annuel des RSSI, les Assises de la sécurité des systèmes d'information se tiennent à Monaco (Grimaldi Forum) du 11 au 14 octobre 2017. Organisées par DG Consultants.

MOBILITY FOR BUSINESS

7ème édition de Mobility for Business, le salon des solutions mobiles pour une meilleure transformation digitale des entreprises, les 17 et 18 octobre 2017 à Paris Porte de Versailles (Hall 5.1). Organisé par Infopromotions.
Voir tout l'AgendaIT