Quelques jours après la vaste attaque informatique qui a touché plus de 200 000 ordinateurs dans 150 pays grâce au logiciel de rançon WannaCrypt (aussi nommé WannaCry), une question demeure : qui est derrière cette opération sans précédent ?
Au lendemain de l’attaque, Guillaume Poupard, directeur de l’Agence nationale de la sécurité des systèmes d’information, affirmait au Monde : « Il est encore tôt, et nous restons bien sûr prudents sur ce point. Mais tout, dans le scénario présent, fait penser à une attaque criminelle. […] Je peux me tromper, mais je ne pense pas qu’on soit dans un scénario étatique. Nous sommes plutôt face à une tentative de chantage classique. »
Toutefois, deux entreprises de sécurité informatique, la société russe Kaspersky et l’américaine Symantec (qui fournit aussi des logiciels informatiques), soupçonnent aujourd’hui un groupe de hackers, le Lazarus Group, lié au gouvernement nord-coréen. Les deux sociétés sont en effet parvenues à la même piste après la découverte d’un bout de code crucial par Neal Mehta, un expert en sécurité de Google, qui l’a partagé sur Twitter.
« Une fausse piste nous paraît improbable »
Comme l’explique Kaspersky sur son blog, ce court extrait de code évoque la piste du Lazarus Group, une équipe de hackers restée célèbre pour avoir hacké Sony en 2014 — ce qui avait entraîné la fuite de films et de mails puis des sanctions du gouvernement américain contre la Corée du Nord — comme pour le vol à distance de 81 millions de dollars à la banque du Bangladesh en 2016. Autre similarité marquante : la demande de rançon en bitcoins, une pratique dont le Lazarus Group est coutumier.
La trouvaille principale reste la partie du code utilisée dans une version initiale du logiciel WannaCry (en date de février 2017), qui est semblable à celle utilisée dans un backdoor (ou porte dérobée) utilisé par le Lazarus Group en 2015. Toutefois, ce point commun ne suffit pas, à lui seul, à établir leur implication.
La prudence est donc de mise, comme le reconnaît Kaspersky : « Pourrait-il s’agir d’une fausse piste ? Théoriquement, tout est possible, on peut penser que le backdoor code de 2015 a été copié sur l’extrait de Wannacry de février 2017. Toutefois, ce code semble avoir été supprimé des versions suivantes. L’extrait de février 2017 semble être une variante prématurée de l’outil de chiffrement de Wannacry. Une fausse piste, bien qu’envisageable, nous paraît improbable. »
De son côté, Symantec s’est livré à une analyse encore plus prudente : « Nous n’avons pas encore pu confirmer que ce sont les outils de Lazarus qui ont déployé WannaCry sur ces systèmes. En complément, nous avons trouvé du code, sur WannaCry, qui est utilisé dans des routines SSL qui sont historiquement propres aux outils de Lazarus. Si ces liens existent, ils restent pour l’instant assez faibles. Nous continuons d’enquêter pour trouver des rapports plus significatifs. »
Europol, qui a ouvert une enquête, ne privilégie pour l’instant aucune piste, comme l’a expliqué son porte-parole Jan Op Gen Oorth : « Nous sommes prêts à enquêter dans toutes les directions mais nous ne spéculons pas et ne pouvons pas confirmer [cette allégation]. Il est trop tôt pour affirmer quoi que ce soit. »
L’entreprise Kaspersky conclut : « Dans l’immédiat, il nous faut explorer plus en avant les versions les plus anciennes de Wannacry. Nous sommes convaincus qu’elles détiennent les clés pour résoudre les zones d’ombre qui entourent cette attaque. Une chose est sûre — la découverte de Neel Mehta est l’indice le plus significatif à ce jour au sujet des origines de Wannacry ».
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.