Mardi 27 juin, un rançongiciel répondant au petit nom de NotPetya a infecté des milliers d'ordinateurs partout dans le monde. Particulièrement virulent, le rançongiciel ne date pourtant pas d'hier.

Le rançongiciel n'est pas nouveau. Le malware, ou logiciel malveillant, qui chiffre des données et demande des paiements en échange des clés de déchiffrement, existe depuis presque 30 ans.

VOIR AUSSI : NotPetya, Petyr, GoldenEye: pourquoi ce rançongiciel est plus inquiétant que WannaCry

En un clin d'œil, le rançongiciel est passé d'une obscure menace pesant sur un petit groupe à un fléau mondial s'attaquant aux hôpitaux, aux banques, aux systèmes de transports et même aux jeux vidéo. Cette soudaine augmentation d'attaques au rançongiciel ne semble pas s'atténuer, laissant de plus en plus de victimes désarmées. Pourquoi ? Vraisemblablement à cause de la cryptomonnaie et de l'Agence de sécurité nationale américaine (NSA). 

Un peu d'histoire

La première attaque au rançongiciel enregistrée a ciblé le secteur de la santé et remonte à 1989. D'après le blog dédié à la cybersécurité Practically Unhackable, un biologiste du nom de Joseph Popp a envoyé près de 200 000 disquettes à d'autres chercheurs, arguant qu'elles contenaient un sondage qui aiderait les scientifiques à déterminer les risques qu'avait un patient d'attraper le virus du SIDA.

Ce qu'il oublie de dire, c'est que chaque disquette chiffre aussi les noms de fichiers sur les ordinateurs infectés – les rendant inutilisables. Plutôt qu'un écran de démarrage, les victimes voient apparaître un message exigeant 189 dollars pour débloquer le système.

rancongiciel-1989-biologiste-sante.png
Le message affiché par le virus PC Cyborg.
PALO ALTO NETWORKS

Joseph Popp, docteur à Harvard, est un biologiste évolutionniste mais pas un hacker à proprement parler. D'après The Atlantic, le scientifique a expliqué qu'il avait l'intention de donner tout l'argent récolté à la recherche pour le SIDA, après avoir été arrêté et accusé de chantage.

Au-delà du débat autour de ses véritables intentions, le succès de son attaque est alors limité par deux facteurs : les disquettes ont besoin de la poste pour être envoyées, et le chiffrement utilisé, connu désormais sous le nom de PC Cyborg, est réversible sans avoir recours au chercheur. 28 ans plus tard, les hackers ont trouvé un moyen de contourner ces limites. C'est là que les choses ont empiré.

La cryptomonnaie et la NSA

Quand on pense à l'envergure des dernières attaques au rançongiciel qui ont touché le monde, il faut garder en tête deux éléments : la fréquence et la portée. Un rapport de 2016 du département américain de la justice relève 7 694 plaintes liées à des rançongiciels depuis 2005, un chiffre probablement bien en-deçà de la réalité. L'attaque WannaCry de mai 2017, pour sa part, a touché 150 pays. Deux facteurs ont joué un rôle-clé dans l'ascension du rançongiciel : le développement des monnaies virtuelles et la disponibilité de failles informatiques détenues par la NSA.

En effet, les monnaies virtuelles comme le Bitcoin offrent aux pirates une chance réelle de récupérer de l'argent de la rançon. C'est une amélioration considérable par rapport à l'époque de Joseph Popp, où une boîte postale était nécessaire pour espérer voir un jour les billets verts réclamés. Il suffit maintenant d'envoyer aux victimes un lien où ils pourront effectuer le paiement en Bitcoin.

D'après l'entreprise de cybersécurité Palo Alto Networks, le premier rançongiciel à avoir demandé le paiement en Bitcoin était le Cryptowall de 2013. Le premier, et loin d'être le dernier. Le confort apporté par le paiement en cryptomonnaie combiné à la popularité croissante du Bitcoin auraient contribué à l'augmentation de 300 % des incidents liés à un rançongiciel, pointée du doigt par un rapport d'IBM en 2016.

cryptomonnaie.jpg
B. TONGO/EPA/REX/SHUTTERSTOCK

Alors pourquoi l'envergure de ces attaques est-elle si large ? Si beaucoup de facteurs peuvent jouer, l'un d'entre eux est primordial : le dévoilement par le groupe de hackers Shadow Brokers d'une série de failles informatiques que possédait la NSA. Dans la liste se trouvait la fameuse faille EternalBlue, qui couplée avec un rançongiciel, a permis la propagation incroyable du virus WannaCry. La même faille a apparemment joué un rôle clé (mais pas exclusif) dans la diffusion de NotPetya, qui a touché 65 pays.

Et tandis que Microsoft a déjà dévoilé un patch pour parer la faille EternalBlue au moment où le virus se propageait dans le monde, le feu de forêt qu'ont été WannaCry et NotPetya sert de rappel violent que tout le monde n'est pas à jour en terme de sécurité.

Et maintenant, qu'est-ce qu'on fait ?

L'échelle sans précédent de ces deux attaques, propulsées par les failles volées à la NSA et facilitées par la cryptomonnaie, suggère que nous nous sommes entrés dans un nouvel âge de rançongiciels particulièrement virulents. Les attaques comme WannaCry risquent de devenir monnaie courante, comme l'indique le rapport 2017 de l'entreprise de cybersécurité Symantec qui note "une augmentation de 36 % des attaques au rançongiciel dans le monde".

Il est intéressant cependant de remarquer que le rançongiciel pourrait finir par être victime de son succès. Le petit nombre d'ordinateurs infectés combiné aux mécanismes de paiement défaillants de NotPetya et WannaCry signifient que même si les gens choisissent de payer la rançon, ils ne reçoivent pas leur clé de déchiffrement. Pourquoi payer si vous savez que vous ne reverrez de toute façon pas vos fichiers ? La rumeur s'est vite propagée, et à l'heure où nous écrivons ces lignes, l'adresse Bitcoin associée à NotPetya n'a reçu que 46 paiements, soit environ 10 317 dollars.

Tout cela montre que si la forme d'extorsion numérique développée par Joseph Popp ne montre aucun signe de ralentissement, le revenu n'y est pas. C'est peut-être là le seul espoir que nous avons de mettre fin au fléau grandissant du rançongiciel.

– Adapté par Charlotte Viguié. Retrouvez la version originale sur Mashable.

Quelque chose à ajouter ? Dites-le en commentaire.