• Calendrier

    juillet 2017
    L Ma Me J V S D
    « juin    
     12
    3456789
    10111213141516
    17181920212223
    24252627282930
    31  
  • Catégories d’Articles

  • Archives

NotPetya, le logiciel rançonneur à propagations multiples

Posté par Les Blogueurs Associés le 28 juin 2017

NotPetya

Moins de deux mois après WannaCry, une nouvelle vague de «ransomware» a affecté ce mardi de nombreuses entreprises en Ukraine, en Russie et dans plusieurs pays d’Europe, jusqu’aux Etats-Unis. En France, Saint-Gobain et la SNCF ont été touchés.

Comme un air de déjà vu…L’apparition et la dissémination, ce mardi, d’un nouveau «rançongiciel» ou ransomware, baptisé NotPetya par l’éditeur russe de solutions de cybersécurité Kaspersky, rappelle le précédent WannaCry. Le 12 mai, ce logiciel malveillant avait frappé des entreprises et des institutions publiques dans plus de 150 pays, dont des hôpitaux britanniques, des banques russes, l’opérateur télécom espagnol Telefonica, ou le constructeur automobile français Renault.

D’abord détecté en Ukraine, NotPetya s’est également propagé en Russie, dans plusieurs pays d’Europe et jusqu’aux Etats-Unis. Si le nombre d’utilisateurs touchés semble pour l’heure moins élevé que pour WannaCry, cette nouvelle vague de rançongiciel frappe, elle aussi, par sa viralité.

Que s’est-il passé ?

«Ce mardi, nous avons reçu des informations de plusieurs de nos clients et partenaires, nous indiquant qu’ils étaient frappés par une nouvelle variante de ransomware», explique à Libération Costin Raiu, qui dirige l’équipe d’analyse et de recherche de Kaspersky.

Les utilisateurs affectés ont vu s’afficher sur leur écran un message leur indiquant : «Si vous voyez ce texte, c’est que vos fichiers ne sont désormais plus accessibles, parce qu’ils ont été chiffrés. Peut-être êtes-vous occupé à trouver un moyen de [les] récupérer, mais ne perdez pas votre temps.»

Suit une demande de rançon – 300 dollars (264 euros) en bitcoins –, le numéro du compte sur lequel la verser, ainsi qu’une adresse mail, à laquelle l’utilisateur dont la machine a été «séquestrée» doit envoyer un identifiant. Dans un premier temps, plusieurs spécialistes en sécurité informatique, dont Raiu, ont cru avoir affaire à une variante de Petya, un rançongiciel repéré en mars 2016.

Notamment parce que ce nouveau ransomware infecte de la même manière la «zone d’amorçage» du disque dur, celle qui permet de lancer le système d’exploitation, et chiffre non pas les données elles-mêmes, mais un seul «composant critique», à savoir le «catalogue» de tous les fichiers stockés sur le disque.

Ce qui permet de bloquer une machine beaucoup plus rapidement, parfois «en moins d’une minute», explique l’expert de Kaspersky.
Mais en fin de journée, l’entreprise a finalement estimé qu’il s’agissait d’«un nouveau ransomware, qui n’a jamais été vu auparavant», même si son code présente bel et bien des similitudes avec ceux de Petya et de sa variante PetrWrap, détectée, elle, en mars 2017.

NotPetya possède d’autre part un point commun avec WannaCry : pour se diffuser au sein des réseaux avant de bloquer la machine infectée, il utilise le même outil, EternalBlue, développé par la NSA pour tirer parti d’une faille dans le système d’exploitation Windows de Microsoft, et divulgué en avril par le mystérieux groupe de pirates informatiques «Shadow Brokers».

L’entreprise américaine avait pourtant corrigé cette vulnérabilité dès le mois de mars, mais les mises à jour n’ont pas nécessairement été faites partout. Par ailleurs, indique Costin Raiu, NotPetya embarque un autre outil de la NSA exploitant une autre faille de Windows, EternalRomance, lui aussi rendu public par les Shadow Brokers.

Là encore, le problème avait été corrigé par Microsoft. Plus préoccupant : le rançongiciel utilise également des outils d’extraction de mots de passe et d’administration à distance, afin d’exécuter le code malveillant sur des machines qui ne seraient pas vulnérables à EternalBlue et EternalRomance.

Enfin, selon Kaspersky, NotPetya s’est propagé mardi matin par une autre voie, très particulière : un logiciel ukrainien de comptabilité et de fiscalité, MEDoc, utilisé par de très nombreuses entreprises du pays. «Le mécanisme de mise à jour a été saboté, pour distribuer le logiciel malveillant aux clients de MEDoc», explique Raiu.

L’entreprise a démenti avoir subi cette mésaventure, mais comme le souligne Forbes, d’autres experts ont confirmé l’annonce de Kaspersky. C’est d’ailleurs la piste mise en avant par la police ukrainienne. Un dernier vecteur de dissémination est évoqué, en France, par l’Agence nationale de la sécurité des systèmes d’information (Anssi).

Dans la dernière version de son bulletin d’alerte, mis à jour dans la nuit de mardi à mercredi, le centre de veille de l’agence fait état de possibles «méthodes d’hameçonnage», par envoi de documents malveillants exploitant une vulnérabilité connue de la suite bureautique Microsoft Office. En tout état de cause, il s’agit bien d’un rançongiciel «à multiples capacités de propagation».

Qui a été touché ?

Ce sont d’abord des entreprises et organisations ukrainiennes qui ont été impactées. «Les banques éprouvent des difficultés à prendre en charge leurs clients et faire des opérations bancaires», a indiqué la Banque centrale d’Ukraine dans l’après-midi.

Le métro de Kiev n’était plus en capacité d’accepter les paiements par carte bancaire, les panneaux d’affichage de l’aéroport ne fonctionnaient plus, et le site web du gouvernement était inaccessible. La compagnie nationale d’électricité Ukrenergo a elle aussi fait état d’une cyberattaque, mais a assuré que la distribution d’électricité n’était pas affectée.

Onze hypermarchés Auchan dans le pays ont également été touchés. Et en fin d’après-midi, une porte-parole des autorités ukrainiennes a annoncé que les ordinateurs de la centrale nucléaire à l’arrêt de Tchernobyl, qui gèrent la mesure de la radioactivité sur le site, avaient été infectés, et que les techniciens assuraient manuellement cette surveillance à l’aide de compteurs Geiger.

De son côté, la banque centrale russe a fait état d’établissements financiers touchés par NotPetya. Dans le pays, le rançongiciel s’est aussi manifesté chez le géant du pétrole Rosneft, qui s’est dit victime d’une «puissante attaque informatique», sans impact majeur sur son activité, et chez l’entreprise de sidérurgie Evraz.

En Europe, le transporteur maritime danois Maersk et le réseau britannique d’agences publicitaires WPP ont été impactés, de même que Nivea en Allemagne. Aux Etats-Unis, c’est le cas de l’entreprise pharmaceutique Merck, ou encore du cabinet d’avocats DLA Piper.

En France, Saint-Gobain a été la première victime déclarée. «Par mesure de sécurité, afin de protéger nos données, nous avons isolé nos systèmes informatiques», a indiqué en fin d’après-midi à Libération une porte-parole du groupe, se bornant à déclarer que le problème était «en cours de résolution».

D’après un salarié de l’entreprise, la présence du rançongiciel s’est fait sentir en tout début d’après-midi. Il s’est d’abord manifesté par «un ralentissement de tout le système», puis par l’impossibilité d’accéder aux fichiers et aux dossiers. Avant que ne finisse par apparaître sur les écrans le message de rançonnage.

Dans la journée, «la production a été arrêtée sur les chantiers reliés au réseau» de l’entreprise. Outre le géant des matériaux, la SNCF a indiqué au Parisien avoir été affectée, mais avoir «réussi à contenir la menace».

Pour l’heure, impossible d’évaluer précisément le nombre de machines infectées par NotPetya. En fin de journée, Kaspersky faisait état d’un chiffre, évidemment très partiel, de «2 000 attaques» parmi ses clients, principalement en Ukraine et en Russie, mais aussi en Pologne, en Italie, au Royaume-Uni, en Allemagne, en France et au Royaume-Uni.

«Personne n’est vraiment épargné», juge Costin Raiu. Contacté par Libération, l’Office européen de police Europol a expliqué être «en train d’évaluer la situation, en lien avec les unités dédiées à la cybercriminalité en Europe».

Le «niveau de l’attaque» est-il «sans précédent», comme l’a déclaré dans la soirée le secrétaire d’Etat français au Numérique, Mounir Mahjoubi, en déplacement à New York ?

Le diagnostic semble pour le moins prématuré. D’après Europol, la vague WannaCry avait fait «200 000 victimes». Or, comme le souligne le jeune expert britannique qui en avait accidentellement stoppé la propagation, connu sous le pseudonyme de MalwareTech, la logique de diffusion de ce nouveau rançongiciel n’est pas la même.

«WannaCry, écrit-il sur son blog, a été probablement déployé sur un petit nombre d’ordinateurs et s’est ensuite propagé rapidement [via Internet], quand Petya semble avoir été déployé sur un grand nombre d’ordinateurs, et s’est propagé via les réseaux locaux.»

Pour Costin Raiu, l’impact de NotPetya est, à ce stade, plus limité en volume, et les contaminations semblaient d’ailleurs ralentir en début de soirée. Ce qui ne présage en rien de la suite.

Qui peut être derrière NotPetya ?

C’est la question qui risque de faire phosphorer encore un bon moment les experts. Dans le cas de WannaCry, les soupçons ont fini par s’orienter vers Lazarus, un groupe de pirates informatiques déjà mis en cause dans l’attaque contre Sony en novembre 2014, et que les autorités américaines ont accusé d’être lié à la Corée du Nord.

L’attribution de NotPetya promet sans doute d’être plus ardue encore. Comme le rappelle Costin Raiu, Petya et PetrWrap, avec lesquels ce nouveau rançongiciel présente des similitudes, se vendaient au marché noir : «cela veut dire que n’importe qui a pu les acheter» et s’en inspirer.

Pour autant, plusieurs éléments interrogent quant au caractère purement crapuleux ou non de la manœuvre. Notamment l’usage par les «rançonneurs» d’une adresse mail créée chez un fournisseur de messagerie allemand, qui a indiqué l’avoir bloquée dès le milieu de journée.

Autrement dit, elle a vite été inutilisable. A contrario, la multiplicité des vecteurs de propagation ne relève pas du travail d’amateur…Et la diffusion de NotPetya via le logiciel MEDoc laisse à penser que l’Ukraine était spécifiquement visée. Le chef du Conseil de sécurité ukrainien, Oleksandre Tourtchinov, a d’ailleurs rapidement suggéré «une piste russe», quand bien même la Russie a elle aussi été affectée par le rançongiciel.

En France, le parquet de Paris a annoncé en début de soirée avoir ouvert une enquête de flagrance pour «accès et maintien frauduleux dans des systèmes de traitement automatisé de données», «entrave au fonctionnement» de ces systèmes et «extorsions et tentatives d’extorsion». Elle a été confiée à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC).

Dans l’immédiat, l’Anssi renouvelle ses recommandations sur les pratiques à tenir face à une vague de rançongiciels : appliquer les correctifs de sécurité, faire des sauvegardes des données, mais aussi «limiter l’exposition du service de partage de fichiers sur Internet».

Les Blogueurs associés

Publié dans Europe, Industrie, Numérique, Royaume-Uni, Russie | Commentaires fermés

Affaire Ioukos : les milliards de Poutine devant la justice française

Posté par Les Blogueurs Associés le 26 juin 2017

Affaire Ioukos

Une décision de la cour d’appel de Paris, mardi, pourrait rebattre les cartes dans la saga politico-judiciaire Ioukos qui empoisonne les relations franco-russes. Ils n’ont pas réussi à faire saisir « le trou ».

« Le trou », c’est le surnom donné par l’avocat Emmanuel Gaillard et ses confrères au terrain sur lequel se dresse fièrement aujourd’hui la nouvelle cathédrale orthodoxe russe, à deux pas du quai Branly, à Paris.

Plusieurs immeubles parisiens, un édifice à Marseille et une villa en bord de mer à Deauville, d’une valeur de plusieurs dizaines de millions d’euros, leur ont aussi échappé. « La Russie a ajouté sur ces bâtiments des plaques diplomatiques qui n’existaient pas il y a peu de temps pour obtenir l’immunité », détaille le conseiller des ex-actionnaires de la compagnie pétrolière Ioukos.

Il y a aussi ces 20% de parts dans la société Euronews, basée à Lyon. Ou encore l’agence de presse Russia Today, qualifiée « d’organe de propagande » par Emmanuel Macron devant Vladimir Poutine lors de leur rencontre à Versailles, et qui pourrait se lancer en janvier sur la TNT française.

Ironie du sort, ce média est installé dans le 17e arrondissement de Paris, à quelques mètres du cabinet Shearman & Sterling, où officie Emmanuel Gaillard…. »Dans le passé, souffle-t-il, il nous est arrivé d’entendre au bout du fil une voix parlant le russe… »

La tentative de saisie du « trou » et d’autres biens immobiliers russes est une des multiples conséquences de l’affaire dite Ioukos, un imbroglio juridique ultracomplexe où se mêlent intérêts financiers, politiques et diplomatiques. Un scénario digne d’un polar, charriant son lot de paranoïa, dont le nouvel acte se jouera mardi à la cour d’appel de Paris.

La sentence du tribunal de La Haye et les menaces russes

L’affaire a pourtant commencé il y a quatorze ans, lorsque la compagnie Ioukos, propriété de l’oligarque russe Mikhaïl Khodorkovski, opposant à Poutine, est poussée à la faillite par de multiples redressements fiscaux.

Le sulfureux businessman est envoyé dans les geôles sibériennes, où il restera dix ans, pour « escroquerie à grande échelle », tandis que la justice russe organise la vente aux enchères des actifs de Ioukos au profit d’une autre compagnie pétrolière publique, Rosneft.

Regroupés au sein d’une société basée à Gibraltar (GML), cinq actionnaires de feu Ioukos aujourd’hui réfugiés en Israël et aux États-Unis (Leonid Nevzline, à qui Khodorkovski aurait transféré toutes ses parts, Vassili Shakhnovski, Vladimir Dubov, Platon Lebedev et Mikhaïl Brudno) décident de poursuivre le combat. La partie de poker judiciaire commence.

Les oligarques saisissent la cour d’arbitrage de La Haye, qui, au terme d’un procès-fleuve, condamnera en juillet 2014 la Russie à leur verser 50 milliards de dollars, estimant la faillite de Ioukos politiquement motivée…La sentence est rendue dans un climat tendu.

Quelques mois plus tôt, l’Union européenne adoptait des sanctions économiques contre Moscou après l’annexion illégale de la Crimée….Le Kremlin intente immédiatement un recours devant le tribunal de district de La Haye, qui lui donnera raison en avril 2016.

Partout dans le monde, les saisies de biens et actions destinées à récupérer les fameux 50 milliards sont gelés. Partout, sauf en France, qui se considère autonome en matière d’arbitrage international… Le tribunal de grande instance de Paris rend des ordonnances dès décembre 2014, permettant d’entamer les réquisitions…La Russie fait appel.

C’est cet acte qui s’est joué à Paris le 12 mai, sur fond de tentatives de réchauffement entre les présidents Macron et Poutine.

Des sociétés françaises « prises en otages »

Car la partie est éminemment politique, et c’est bien ce qui préoccupe Emmanuel Gaillard. « Je suis inquiet des pressions énormes opérées par la Russie sur les pouvoirs publics français, explique-t-il. Lutter contre une superpuissance n’est pas une affaire ordinaire. »

« Depuis 2014, Moscou a changé de méthode, proférant des menaces, comme on peut le lire dans une note du ministère russe des Affaires étrangères de 2015, qui évoque des mesures de rétorsion contre la France. » Résultat, selon Me Gaillard, la France a reculé.

« Le Quai d’Orsay a mis tout son poids auprès des parlementaires français pour que, dans la loi Sapin 2, les saisies contre les Etats soient rendues plus difficiles. La Russie met en œuvre tous les moyens légaux et illégaux pour contrer ces sentences qui préoccupent grandement Vladimir Poutine et ont été vécues comme un gros coup porté contre lui.

 » Des moyens illégaux jusqu’à des menaces physiques contre les avocats de la partie adverse ? « Nous n’en avons jamais fait la publicité », répond sobrement l’avocat. Parmi les points les plus épineux figurent les dites saisies sur le territoire français.

« En juin et juillet 2015, des huissiers mandatés par nos adversaires ont visité pratiquement toutes les sociétés du CAC40 et les grands établissements bancaires pour voir s’ils avaient des dettes à l’égard de Moscou et les immobiliser », rapporte Andrea Pinna, avocat en France de la Fédération de Russie.

« Certains d’entre eux, Air France et Total, avaient des dettes fiscales, qui étaient par nature insaisissables. » Outre les propriétés immobilières, une autre créance, spatiale cette fois-ci, pose problème : celle des 300 millions d’euros dus par Ariane Espace à son homologue Roscosmos pour l’achat de lanceurs Soyouz.

Le seul montant aujourd’hui immobilisé, dans un des rares secteurs où la coopération franco-russe fonctionne… »Il y a une énorme pression de la Russie à ce sujet, mais aussi de la France, du Centre national d’études spatiales et d’Ariane Espace, qui ont prétendu que ces saisies mettraient en cause le programme spatial», rapporte Me Gaillard.

« Ces entités sont certes des établissements publics russes, mais elles ne se confondent pas avec la Fédération de Russie, contre Andrea Pinna. Nos adversaires causent d’importants préjudices à la coopération spatiale européenne et aux sociétés françaises, prises en otage dans un contentieux qui ne devrait pas les concerner. »

La cour d’appel de Paris se retrouve, elle aussi, impliquée dans un procès qu’elle n’aurait sans doute jamais imaginé voir sur son bureau : celui des années postsoviétiques et des méthodes de corruption en vigueur, l’avocat de la Fédération ayant choisi cet angle d’attaque « pour détourner l’attention de ce qui a constitué la plus grande expropriation de l’histoire contemporaine », selon la partie adverse.

« Les oligarques dont nous parlons ne sont pas des anges, justifie Andrea Pinna. La privatisation de Ioukos a été réalisée en 1995 de manière illégale. Ils ont versé d’énormes pots-de-vin à des agents publics de l’époque pour gagner l’appel d’offres. »

« Grâce à des relevés de compte de la banque UBS de Zurich, qui n’ont pu être que récemment exploités, nous avons désormais la preuve de tels versements pour un montant de 614 millions de dollars ! »

Emmanuel Gaillard a choisi, lui, de verser au dossier une affaire portant sur une filiale de Ioukos immatriculée en Arménie, où un juge a subi des pressions au bénéfice de la société d’État Rosneft. « [Mon supérieur] m’a appelé pour me communiquer le jugement que je devais rendre », a témoigné l’ex-magistrat Surik Ghazaryan depuis les États-Unis, où il a obtenu l’asile politique, dans un document dont le JDD a eu connaissance.

« Je lui ai donné ma carte mémoire et il a enregistré le jugement sur celle-ci […] en faveur de Rosneft. Il m’a donné instruction de [l']utiliser comme s’il s’agissait du mien. » Quel que soit le verdict mardi, l’affaire devrait continuer d’empoisonner la tentative de dégel entre Paris et Moscou, qui doivent nommer prochainement leurs nouveaux ambassadeurs.

Les deux parties ont indiqué au JDD leur intention de se pourvoir en cassation.

Les Blogueurs associés

Publié dans Finance, Justice, Russie | Commentaires fermés

 

Unblog.fr | Créer un blog | Annuaire | Signaler un abus