Deux entreprises de sécurité informatique sont parvenues à la même piste après la découverte d’une partie de code dans une version initiale du logiciel WannaCrypt. La Corée du Nord pourrait être à l’origine de l’attaque par le biais du groupe de hackers Lazarus Group, déjà à l’origine du piratage de Sony. Mais la prudence reste de mise, en l’attente d’éléments plus probants.

Quelques jours après la vaste attaque informatique qui a touché plus de 200 000 ordinateurs dans 150 pays grâce au logiciel de rançon WannaCrypt (aussi nommé WannaCry), une question demeure : qui est derrière cette opération sans précédent ?

Au lendemain de l’attaque, Guillaume Poupard, directeur de l’Agence nationale de la sécurité des systèmes d’information, affirmait au Monde : « Il est encore tôt, et nous restons bien sûr prudents sur ce point. Mais tout, dans le scénario présent, fait penser à une attaque criminelle. […]  Je peux me tromper, mais je ne pense pas qu’on soit dans un scénario étatique. Nous sommes plutôt face à une tentative de chantage classique. »

Toutefois, deux entreprises de sécurité informatique, la société russe Kaspersky et l’américaine Symantec (qui fournit aussi des logiciels informatiques), soupçonnent aujourd’hui un groupe de hackers, le Lazarus Group, lié au gouvernement nord-coréen. Les deux sociétés sont en effet parvenues à la même piste après la découverte d’un bout de code crucial par Neal Mehta, un expert en sécurité de Google, qui l’a partagé sur Twitter.

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Twitter.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par Twitter avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.

Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.

Gérer mes choix

« Une fausse piste nous paraît improbable »

Comme l’explique Kaspersky sur son blog, ce court extrait de code évoque la piste du Lazarus Group, une équipe de hackers restée célèbre pour avoir hacké Sony en 2014 — ce qui avait entraîné la fuite de films et de mails puis des sanctions du gouvernement américain contre la Corée du Nord — comme pour le vol à distance de 81 millions de dollars à la banque du Bangladesh en 2016. Autre similarité marquante : la demande de rançon en bitcoins, une pratique dont le Lazarus Group est coutumier.

La trouvaille principale reste la partie du code utilisée dans une version initiale du logiciel WannaCry (en date de février 2017), qui est semblable à celle utilisée dans un backdoor (ou porte dérobée) utilisé par le Lazarus Group en 2015. Toutefois, ce point commun ne suffit pas, à lui seul, à établir leur implication.

La prudence est donc de mise, comme le reconnaît Kaspersky : « Pourrait-il s’agir d’une fausse piste ? Théoriquement, tout est possible, on peut penser que le backdoor code de 2015 a été copié sur l’extrait de Wannacry de février 2017. Toutefois, ce code semble avoir été supprimé des versions suivantes. L’extrait de février 2017 semble être une variante  prématurée de l’outil de chiffrement de Wannacry. Une fausse piste, bien qu’envisageable, nous paraît improbable. »

WannaCrypt : comment peut-on se protéger d’un ransomware ?

De son côté, Symantec s’est livré à une analyse encore plus prudente : « Nous n’avons pas encore pu confirmer que ce sont les outils de Lazarus qui ont déployé WannaCry sur ces systèmes. En complément, nous avons trouvé du code, sur WannaCry, qui est utilisé dans des routines SSL qui sont historiquement propres aux outils de Lazarus. Si ces liens existent, ils restent pour l’instant assez faibles. Nous continuons d’enquêter pour trouver des rapports plus significatifs. »

Europol, qui a ouvert une enquête, ne privilégie pour l’instant aucune piste, comme l’a expliqué son porte-parole Jan Op Gen Oorth : « Nous sommes prêts à enquêter dans toutes les directions mais nous ne spéculons pas et ne pouvons pas confirmer [cette allégation]. Il est trop tôt pour affirmer quoi que ce soit. »

L’entreprise Kaspersky conclut  : « Dans l’immédiat, il nous faut explorer plus en avant les versions les plus anciennes de Wannacry. Nous sommes convaincus qu’elles détiennent les clés pour résoudre les zones d’ombre qui entourent cette attaque. Une chose est sûre — la découverte de Neel Mehta est l’indice le plus significatif à ce jour au sujet des origines de Wannacry ».

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !