Une histoire inédite sur NotPetya, la cyberattaque la plus destructrice de l’histoire


Mais l’histoire de NotPetya ne concerne pas vraiment Maersk ou même l’Ukraine. C’est l’histoire d’une arme de guerre d’un État-nation qui est libérée par un média dont les frontières nationales ne sont pas pertinentes et dans lequel les dommages collatéraux passent par une logique cruelle et inattendue: si une attaque contre l’Ukraine frappe Maersk et une attaque contre Maersk est ciblée partout. immédiatement.

Oleksii Yasinsky a attendu Mardi calme au bureau. C’était la veille du jour de la Constitution ukrainienne, jour férié national, et la plupart de ses collègues planifiaient des vacances ou prenaient déjà leurs vacances. Mais pas Yasinsky. Au cours de l’année écoulée, il avait occupé le poste de directeur des systèmes d’information chez Information Systems Security Partners, une entreprise qui devenait rapidement un contractant pour les victimes de la cyberguerre ukrainienne. Cette description de poste ne pouvait pas servir de temps d’arrêt. Après les premières attaques de cyber-attaques russes fin 2015, il s’est en effet donné une grosse semaine de congé.

Yasinsky n’a donc pas été dérangé lorsqu’il a reçu un appel du chef de l’ISSP dans la matinée au sujet de l’attaque d’Oschadbank, la deuxième banque d’Ukraine. La banque avait déclaré à l’ISSP qu’elle était confrontée à une infection par ransomware, une crise de plus en plus courante pour les entreprises du monde entier ciblées par les cybercriminels à but lucratif. Mais quand Yasinsky est entré dans un bureau du département informatique d’Oschadbank dans le centre de Kiev une demi-heure plus tard, il a pu dire que c’était quelque chose de nouveau. « Le personnel a disparu, confus, sous le choc », explique Yasinsky. Environ 90% des milliers d’ordinateurs de la banque étaient verrouillés, et les messages «réparer le disque» et les écrans de rachat de NotPetya ont été vus.

Après un examen rapide des journaux restants de la banque, Yasinsky a vu que l’attaque était un ver automatique qui avait en quelque sorte reçu les informations d’identification de l’administrateur. Il lui avait donné un terrain via le réseau de la banque comme un prisonnier de prison qui a volé les clés du gardien.

Tout en enquêtant sur une violation de banque dans le bureau de l’ISSP, Yasinsky a commencé à recevoir des appels et des messages de personnes venant d’Ukraine et à lui parler de cas similaires dans d’autres entreprises et agences gouvernementales. L’un d’eux lui a dit qu’une autre victime avait tenté de payer une rançon. Comme Yasinsky en doutait, l’accusation n’a eu aucun effet. Ce n’était pas un programme de rachat ordinaire. « Il n’y avait pas de forme argentée pour cela, pas d’antidote », dit-il.

Coûts NotPetya

En 2017, le logiciel malveillant NotPetya s’est propagé des serveurs d’une modeste société de logiciels ukrainienne à certaines des plus grandes sociétés du monde, paralysant leurs opérations. Voici une liste des dommages approximatifs signalés par certaines des plus grandes victimes du ver.

870 millions de dollars

Société pharmaceutique Merck

400 millions de dollars

Société de livraison FedEx (via la filiale européenne TNT Express)

384 millions de dollars

Entreprise de construction française Saint-Gobain

300 000 000 $

Compagnie maritime danoise Maersk

188 millions de dollars

Snack company Mondelēz (société mère de Nabisco et Cadbury)

129 millions de dollars

Le fabricant britannique Reckitt Benckiser (propriétaire des préservatifs Lysol et Durex)


10 milliards de dollars

Dommages totaux à NotPetya, selon les estimations de la Maison Blanche

À mille lieues au sud, le PDG de l’ISSP, Roman Sologub, a tenté de prendre un jour de congé constitutionnel sur la côte sud de la Turquie pour se rendre à la plage avec sa famille. Son téléphone a également commencé à exploser avec des appels de clients de l’ISSP qui regardaient NotPetya déchirer ses réseaux ou lisaient les nouvelles de l’attaque et cherchaient ardemment des conseils.

Sologub s’est retiré dans son hôtel, où il a passé le reste de la journée à envoyer plus de 50 appels de clients qui ont signalé successivement que leurs réseaux avaient été infectés. Le centre des opérations de sécurité ISSP, qui surveillait les réseaux des clients en temps réel, a averti Sologub que NotPetya se lassait des systèmes des victimes à un rythme effroyable: il a fallu 45 secondes pour faire tomber le réseau d’une grande banque ukrainienne. Une partie d’un grand centre de transit ukrainien, où l’ISSP avait installé son équipement à titre de démonstration, a été complètement saisie en 16 secondes. Ukrenergo, une société d’énergie dont le réseau ISSP avait contribué à la reconstruction après la panne de courant de 2016, a également été battue. « Vous souvenez-vous que nous introduisions de nouveaux contrôles de sécurité? » Sologub se souvient d’un directeur informatique frustré d’Ukrenergo qui lui a demandé par téléphone. « Eh bien, c’est trop tard. »

À midi, le fondateur de ISSP, un entrepreneur en série nommé Oleh Derevianko, était également parti en vacances. Derevianko se dirigeait vers le nord pour rencontrer sa famille dans le village en vacances lorsque les appels à NotPetya ont commencé. Bientôt, il avait emprunté une autoroute et travaillé dans un restaurant en bordure de route. En début d’après-midi, il a prévenu tous les cadres qui ont appelé à débrancher leurs réseaux de la prise sans hésitation, quitte à fermer toute l’entreprise. Dans de nombreux cas, ils avaient déjà attendu trop longtemps. «Au moment où vous y arrivez, l’infrastructure avait déjà disparu», explique Derevianko.

À l’échelle nationale, NotPetya a mangé des ordinateurs ukrainiens vivants. Cela toucherait au moins quatre hôpitaux à Kiev, six sociétés énergétiques, deux aéroports, plus de 22 banques ukrainiennes, des distributeurs automatiques de billets et des systèmes de paiement par carte dans le commerce de détail et les transports, et pratiquement toutes les agences fédérales. « Le gouvernement était mort », résume le ministre ukrainien de l’Infrastructure Volodymyr Omelyan. Selon l’ISSP, au moins 300 entreprises ont été touchées et un haut responsable ukrainien a estimé que 10% de tous les ordinateurs du pays avaient été essuyés. L’attaque a même arrêté des ordinateurs utilisés par des scientifiques sur le site de nettoyage de Tchernobyl, situé à 60 miles au nord de Kiev. «Ce fut un bombardement massif de tous nos systèmes», explique Omelyan.

Lorsque Derevianko est sorti du restaurant tôt dans la soirée, il s’est arrêté pour faire le plein de sa voiture et a remarqué que NotPetya avait également retiré le système de carte d’essence à la station-service. Sans argent dans sa poche, il jeta un coup d’œil à son compteur de gaz pour se demander s’il aurait assez de carburant pour se rendre au village. Dans tout le pays, les Ukrainiens se sont posé des questions similaires: avaient-ils assez d’argent pour faire l’épicerie et le gaz pour survivre au blitz, recevraient-ils leur salaire et leur pension, rempliraient-ils leur ordonnance. Cette nuit-là, alors que le monde extérieur continuait à débattre de la question de savoir si NotPety était un programme de rançongiciel criminel ou une arme de cyberespace parrainée par l’État, le personnel de l’ISSP avait déjà commencé à le qualifier de nouveau phénomène: «une cyberattaque massive et coordonnée».

Soyez le premier à commenter

Poster un Commentaire

Votre adresse de messagerie ne sera pas publiée.


*