Cyber News


Virus « Petya » : de nouveaux éléments éclairent le mécanisme de diffusion du logiciel

Jeudi, 20 Juillet 2017


Twitter Facebook Google+ LinkedIn
cyber security

La piste d’une attaque ayant spécifiquement ciblé l’Ukraine et ses partenaires commerciaux semble de plus en plus claire.

Une semaine après la diffusion du virus « Petya », qui a perturbé le fonctionnement de plusieurs très grandes entreprises, la piste du « patient zéro » progresse. Et le faisceau d’indices à la disposition des enquêteurs, tant publics que privés, pointe de manière de plus en plus insistante vers une attaque visant spécifiquement l’Ukraine.


La police ukrainienne a publié, mercredi 5 juillet, des images d’une perquisition musclée au siège d’Intellect Service, une entreprise ukrainienne qui édite notamment M.E.Doc, un logiciel de comptabilité qui a, d’après les enquêteurs, été au moins le principal sinon l’unique vecteur de diffusion du virus, qui s’est diffusé à très grande vitesse en moins de vingt-quatre heures dans les entreprises.


Utilisé par environ quatre entreprises sur cinq en Ukraine, M.E.Doc revendique un million d’utilisateurs. Les experts ayant analysé le déploiement de Petya ont constaté que le virus avait été déployé par le biais d’une mise à jour du logiciel, ce qui lui avait permis de toucher simultanément un grand nombre d’entreprises.


Une fois installé sur un ordinateur, Petya analysait le réseau local, pour s’y déployer de manière très efficace. Il chiffrait également le contenu des ordinateurs touchés, les rendant inutilisables. Le virus demandait alors une rançon, mais le consensus des chercheurs en sécurité informatique est que la partie « rançon » du logiciel était très mal conçue, laissant penser que le but premier du logiciel était de détruire des données et non d’obtenir un gain financier.


Dans un premier temps, Intellect Service avait nié avoir été à l’origine de la diffusion du virus – l’entreprise avait déjà été accusée, un mois auparavant, d’avoir diffusé un logiciel malveillant par le biais d’une précédente mise à jour. Mais l’analyse des serveurs de l’entreprise par Talos Intelligence, une filiale du géant américain Cisco qui avait proposé son aide à Intellect Service, montre que l’entreprise avait bien été piratée par un tiers.


Leurs conclusions sont sans appel : « Une tierce partie a pu voler les identifiants de connexion d’un administrateur chez M.E.Doc. Elle s’est alors connectée au serveur, a acquis les droits administrateur, et a modifié les fichiers de configuration » du serveur, écrit Talos Intelligence. Une fois le contrôle des serveurs obtenu, l’attaquant a alors effectué une série de modifications discrètes pour changer le fonctionnement du système de mise à jour automatique de M.E.Doc, et diffuser Petya aux clients d’Intellect Service.


Mercredi, le PDG de l’entreprise a dû reconnaître que tout son système informatique avait été compromis tandis que le ministère de l’intérieur ukrainien annonçait qu’une deuxième tentative d’attaque informatique émanant des serveurs d’Intellect Service avait été stoppée, sans apporter de précision.



Source :
Virus « Petya » : de nouveaux éléments éclairent le mécanisme de diffusion du logiciel