En juin 2017, le cyberspace mondial a été frappé par une attaque informatique d’une ampleur rarement vue jusqu’alors. Ce logiciel malveillant, connu sous le nom de NotPetya, a rapidement fait parler de lui en raison de son pouvoir destructeur et de la confusion qu’il a engendrée. Dès les premiers jours, experts et analystes ont cru qu’il s’agissait d’un rançongiciel classique, réclamant une somme d’argent pour déchiffrer les données bloquées. Cependant, la réalité s’est avérée bien plus complexe et inquiétante.
Contrairement aux ransomwares habituels, NotPetya n’avait pas pour but de monnayer des données volées, mais plutôt de les détruire définitivement. Ce logiciel de type wiper était déguisé en rançongiciel pour semer davantage la panique et rendre les victimes impuissantes face à la perte de leurs informations. La confusion autour de sa véritable nature a entraîné des réponses inadaptées dans les premières heures de l’attaque, aggravant l’impact sur les systèmes infectés.
Pour bien comprendre pourquoi NotPetya a causé autant de dégâts, il est essentiel de faire la distinction entre un rançongiciel et un wiper.
Les rançongiciels classiques, comme WannaCry, chiffrent les fichiers des utilisateurs et affichent un message de demande de rançon. Les victimes peuvent, en théorie, récupérer leurs données après avoir payé la somme exigée. Cependant, avec NotPetya, la situation est fondamentalement différente. Bien qu’il affiche une demande de rançon similaire, son but n’est pas de rendre les données après paiement, mais de les rendre irrémédiablement inaccessibles.
Le mécanisme de NotPetya repose sur l’écrasement de la Master File Table (MFT), un composant essentiel du système de fichiers NTFS utilisé par Windows. La MFT contient les informations de structure et de localisation des fichiers. En écrasant cette table, le malware rend impossible toute lecture des données stockées, même si celles-ci ne sont pas directement effacées. En parallèle, NotPetya chiffre également le secteur de démarrage du disque, ce qui rend le système totalement inopérant.
Ainsi, même si les victimes choisissent de payer la rançon (généralement en bitcoins), la récupération des données est tout simplement impossible. Le malware n’a jamais été conçu pour déchiffrer quoi que ce soit, faisant de lui un outil de sabotage plutôt qu’un moyen de profit.
Pour comprendre l’ampleur de l’attaque NotPetya, il est capital d’analyser la manière dont il s’est propagé à travers les réseaux informatiques mondiaux. Tout a commencé en Ukraine, lorsque des hackers ont pris pour cible le logiciel de comptabilité M.E.Doc. Très répandu dans le pays, ce programme est utilisé par des milliers d’entreprises pour gérer leurs déclarations fiscales et comptables.
Les attaquants ont profité d’une mise à jour compromise de M.E.Doc pour insérer le code malveillant dans les systèmes des utilisateurs. Lorsque les entreprises ont téléchargé et installé cette mise à jour, elles ont sans le savoir infecté leurs réseaux avec NotPetya.
Exploitation d’EternalBlue et techniques de propagation
Pour garantir une propagation rapide et efficace, NotPetya s’est appuyé sur une vulnérabilité critique de Windows appelée EternalBlue. Cette faille avait déjà été utilisée par WannaCry quelques mois plus tôt et permettait d’exploiter un défaut du protocole SMBv1 (Server Message Block) pour exécuter du code à distance.
Une fois installé sur un système, NotPetya utilisait EternalBlue pour se propager automatiquement aux machines connectées sur le même réseau. En plus de cette technique, il exploitait aussi des outils d’administration comme PsExec et WMIC (Windows Management Instrumentation Command-line). Ces utilitaires lui permettaient de lancer des commandes à distance et de compromettre davantage de terminaux en un temps record.
Une propagation incontrôlable
La combinaison de ces techniques a permis à NotPetya de se propager extrêmement rapidement au sein des réseaux internes des entreprises. Le mécanisme d’auto-propagation était si efficace qu’il suffisait qu’une seule machine soit infectée pour que tout le réseau soit compromis en quelques minutes. Ce caractère particulièrement virulent a entraîné des conséquences dramatiques pour les entreprises touchées, les privant de leurs systèmes et données critiques.