Virus « Petya » : de nouveaux éléments éclairent le mécanisme de diffusion du logiciel

Jeudi 6 juillet 2017

Virus « Petya » : de nouveaux éléments éclairent le mécanisme de diffusion du logiciel

La piste d’une attaque ayant spécifiquement ciblé l’Ukraine et ses partenaires commerciaux semble de plus en plus claire.

LE MONDE | 06.07.2017 à 11h21 • Mis à jour le 06.07.2017 à 11h41

Une semaine après la diffusion du virus « Petya », qui a perturbé le fonctionnement de plusieurs très grandes entreprises, la piste du « patient zéro » progresse. Et le faisceau d’indices à la disposition des enquêteurs, tant publics que privés, pointe de manière de plus en plus insistante vers une attaque visant spécifiquement l’Ukraine.

La police ukrainienne a publié, mercredi 5 juillet, des images d’une perquisition musclée au siège d’Intellect Service, une entreprise ukrainienne qui édite notamment M.E.Doc, un logiciel de comptabilité qui a, d’après les enquêteurs, été au moins le principal sinon l’unique vecteur de diffusion du virus, qui s’est diffusé à très grande vitesse en moins de vingt-quatre heures dans les entreprises.

Utilisé par environ quatre entreprises sur cinq en Ukraine, M.E.Doc revendique un million d’utilisateurs. Les experts ayant analysé le déploiement de Petya ont constaté que le virus avait été déployé par le biais d’une mise à jour du logiciel, ce qui lui avait permis de toucher simultanément un grand nombre d’entreprises.

Prise de contrôle du système de mise à jour

Une fois installé sur un ordinateur, Petya analysait le réseau local, pour s’y déployer de manière très efficace. Il chiffrait également le contenu des ordinateurs touchés, les rendant inutilisables. Le virus demandait alors une rançon, mais le consensus des chercheurs en sécurité informatique est que la partie « rançon » du logiciel était très mal conçue, laissant penser que le but premier du logiciel était de détruire des données et non d’obtenir un gain financier.

Dans un premier temps, Intellect Service avait nié avoir été à l’origine de la diffusion du virus – l’entreprise avait déjà été accusée, un mois auparavant, d’avoir diffusé un logiciel malveillant par le biais d’une précédente mise à jour. Mais l’analyse des serveurs de l’entreprise par Talos Intelligence, une filiale du géant américain Cisco qui avait proposé son aide à Intellect Service, montre que l’entreprise avait bien été piratée par un tiers.

Leurs conclusions sont sans appel : « Une tierce partie a pu voler les identifiants de connexion d’un administrateur chez M.E.Doc. Elle s’est alors connectée au serveur, a acquis les droits administrateur, et a modifié les fichiers de configuration » du serveur, écrit Talos Intelligence. Une fois le contrôle des serveurs obtenu, l’attaquant a alors effectué une série de modifications discrètes pour changer le fonctionnement du système de mise à jour automatique de M.E.Doc, et diffuser Petya aux clients d’Intellect Service.

En savoir plus sur http://www.lemonde.fr/pixels/article/2017/07/06/virus-petya-de-nouveaux-elements-eclairent-le-mecanisme-de-diffusion-du-logiciel_5156686_4408996.html#SG1HoIDg2fA28Qro.99

Revenir en haut