Un «Chaos», une cyberattaque «massive», «globale», «sans précédent», «majeure», «puissante», «énorme», «industrialisée», «effrayante»... Daniel Ventre, ingénieur d'études au CNRS et titulaire de la chaire cyberdéfense & cybersécurité (Saint-Cyr / Sogeti / Thales), s'est amusé à compiler les termes utilisés dans les médias pour décrire ce que d'aucuns qualifient de «cyberattaque mondiale».
Cette expression, caricaturale et mensongère, est typique de ces gros-mots-qui-font-peur régulièrement utilisés dans les médias dès lors qu'il s'agit de causer de ce que font hackers et espions sur internet. Déjà, une «cyberattaque», ça fait un peu peur. Alors une «cyberattaque mondiale»... Pour autant, elle décrit à peu près aussi justement ce dont il est question quand, de nos jours, d'aucuns confondent et amlgament à l'envi «pirates informatiques» et hackers, «terroristes djihadistes» et musulmans. Quand, au lendemain de son apparition, j'ai commencé à brocarder ladite expression, au motif qu'elle relève moins du journalisme que du marketing de la peur, Google news répertoriait 131.000 articles parlant de «cyberattaque mondiale». Vingt-quatre heures plus tard, «environ 234.000», dont 8.400 mentionnant «petya», le premier des nombreux noms de code attribués à ce logiciel malveillant.
Un chiffre à comparer aux 2.000 attaques identifiées par Kaspersky, visant essentiellement des ordinateurs en Ukraine (60%) et en Russie (30%), et alors que l'éditeur d'antivirus ESET indiquait lui aussi que 80% des contaminations avaient eu lieu en Ukraine. Microsoft vient par ailleurs de révéler que ladite "cyberattaque mondiale" n'aurait en fait contaminé que 20 000 machines, 70% d'entre-elles en Ukraine, et fonctionnant majoritairement sur Windows 7 (Windows 10 ne serait pas concerné). De plus, les ordinateurs contaminés dans d'autres pays l'auraient été parce qu'ils émanaient d'entreprises commerçant avec l'Ukraine.
Le malware a, en effet, commencé à se propager via une mise à jour automatique de MEDoc (My Electronic Document), l'un des deux seuls logiciels de comptabilité agréés par les autorités ukrainiennes. Wired souligne par ailleurs qu'il a été activé à la veille de la journée de la Constitution, qui délèbre l'indépendance de l'Ukraine post-soviétique. De fait, la fiche Wikipedia consacrée à cet événement est intitulée 2017 cyberattacks on Ukraine.
L'écosystème ukrainien visé
De plus, le malware n'est pas un ver qui se propage par internet, mais un logiciel malveillant qui ne contamine «que» les seuls ordinateurs se trouvant sur le même réseau local d'entreprise (ou d'administration). Son objectif n'était donc pas de lancer une «cyberattaque mondiale», mais bien de viser l'écosystème (voire «cyberespace») ukrainien.
Par ailleurs, les chasseurs de malware ont depuis découvert que, s'il avait initialement été identifié comme une version dérivée de Petya, un rançongiciel apparu en mars 2016, il s'agissait en fait d'un «déguisement», comme l'a expliqué Guillaume Poupard, le directeur général de l'Anssi (agence nationale de la sécurité des systèmes d'information) :
«Manifestement, cela dépasse largement le cadre d'un simple rançongiciel. C'est un déguisement. Le but, c'est de nuire, de bloquer, de détruire, de saboter. Employer le terme que vous voulez. Le code malveillant est beaucoup plus virulent en termes de propagation interne que ne l'était WannaCry (précédente cyberattaque intervenue en mai dernier, NDLR).»
Update on #NotPetya #ExPetr: threat actors CAN'T decrypt files. Don't pay ransom. It won't help -> https://t.co/Df7tGqXO2Q
— Eugene Kaspersky (@e_kaspersky) 28 juin 2017
L'objectif n'était pas d'obtenir des rançons, mais d'effacer ou de rendre inaccessibles les données contenues dans les ordinateurs contaminés, via plusieurs modes de contamination, dont deux logiciels espion volés à la NSA. Même en cas de paiement de la rançon, les auteurs du malware seraient dans l'impossibilité de remettre au clair les données, rendues inaccessibles.
À LIRE AUSSI«Nous pensons que ce rançongiciel était en fait un leurre pour contrôler l'impact médiatique», explique Matthieu Suiche, l'un des hackers qui a contribué à décrypter l'attaque, et profité de la couverture médiatique qu'avait reçue Wannacry, la soi-disant précédente «cyberattaque mondiale», pour détourner l'attention des véritables auteurs du logiciel malveillant. À l'instar de ceux de Wannacry, il pourrait s'agir de «hackers d'État» en service commandé plutôt que de pirates informatiques principalement motivés par le gain. L'analyse de F-Secure n'en estiment pas moins que, et dans les deux cas, ils ont aussi accumulé un certain nombre d'erreurs révélant qu'ils ne sont pas si forts que ça... mais aussi que Petya serait aussi une "vendetta" contre Kaspersky, les utilisateurs de son antivirus (d'origine russe) voyant leurs ordinateurs "complètement" bloqués.
Le tout sur fond de cyberguerre, dont l'Ukraine constitue un théâtre d'opération (et d'expérimentation) exemplaire pour les hackers (d'État ou pas) pro-russes, qui y ont déjà déclenché deux black-out électriques. Le soir du lancement de l'attaque, Amaelle Guiton, journaliste à Libération, s'étonnait du nombre de propositions de soi-disant «experts» se proposant de commenter, dans les médias, ce que les véritables chasseurs et chercheurs de malwares n'avaient donc pas encore eu le temps de découvrir, ni donc de comprendre.
... pendant que les vrais experts sont au taf pour essayer de comprendre ce qui se passe.
— Amaelle Guiton (@amaelle_g) 27 juin 2017
J'ai moi-même décliné trois propositions d'interventions à la radio et la télévision, refusant de faire le jeu de ce type de «circulation circulaire de l'information» qui mésinforme plus qu'elle ne permet de comprendre ce dont il est question. Collecter, recouper, contextualiser, décrypter et analyser les informations prend du temps, nonobstant le fait qu'il est quasi-impossible de pouvoir témoigner de la complexité de tels sujets en quelques minutesseulement, comme le proposent la majeure partie des télés et radios.
En tout état de cause, parler de «cyberattaque mondiale» est à peu près aussi pertinent que d'évoquer un «internet mondial», ou un «web mondial»... internet, le web, relèvent de l'interconnexion des réseaux qui, par définition, et quand bien même quelques rares pays comme la Corée du nord, la Chine ou l'Iran voudraient s'en affranchir, est donc... «mondiale». Les logiciels malveillants, virus et vers informatiques, rançongiciels, ne connaissent pas de frontières, quand bien même, et comme c'est le cas en l'espèce, ils restent souvent cantonnés à des zones géographiques en particulier.
De quoi le «web mondial» est-il le nom?
Pour autant, parler de «cyberattaque mondiale» révèle d'abord et avant tout un biais de confirmation faisant le lit des clichés et préjugés, au mépris de l'analyse et du décryptage des informations. Cette façon de caricaturer et de dramatiser l'actualité est d'autant plus dommageable que de telles attaques vont probablement se reproduire, et gagner en gravité.
WannaCry n'aurait touché «que» 300.000 ordinateurs. Ladite «cyberattaque mondiale» n'aurait donc en fait contaminé que 20.000 machines, 70% d'entre-elles en Ukraine. Dans les deux cas, les particuliers, internautes «lambda», n'étaient pas ciblés, ce que la quasi-totalité des articles sur ces «cyberattaques mondiales» omettaient étrangement de préciser. À titre de comparaison, on estime que 60 millions d'ordinateurs auraient été détruits par les variantes du virus Chernobyl, en 1998-1999.
L'histoire des logiciels malveillants remonte aux années 1970. La quasi-totalité d'entre-eux, jusqu'à la fin des années 1990, étaient le fait de passionnés, mus par la curiosité. Puis, c'est devenu un business, de plus en plus alimenté et développé par des escrocs motivé par l'appât du gain. La nouveauté, c'est que des logiciels espions volés à la NSA commencent à être utilisés pour cibler la population civile, se cantonnant essentiellement, pour l'instant, à des réseaux d'entreprises et d'administrations. Pour l'instant. Microsoft vient d'annoncer que de nouveaux exploits reposant sur les logiciels espion volés à la NSA pourraient apparaître «dans les prochaines semaines».
En matière de sécurité informatique, on a coutume de dire que «le problème se situe entre la chaise et le clavier». L'utilisateur est souvent le «maillon faible». Il suffit pourtant de mettre à jour ses logiciels (antivirus compris), quotidiennement, et d'effectuer régulièrement des sauvegardes sur un disque dur externe, pour se prémunir de la majeure partie de ce type de problèmes.
À LIRE AUSSI
Pour pirater les USA, «cliquez-là»
Une «hygiène informatique» relativement simple à suivre, même et y compris par des non-geeks, que la quasi-totalité des articles consacrés à cette «cyberattaques mondiales» omettait curieusement, là aussi, de rappeler. C'est plus simple et vendeur de se contenter de surfer sur les peurs.
A contrario, suivre en quasi-temps réel ces malware hunters, chercheurs en sécurité informatique et autres hackers qui, travaillant pour des entreprises concourrentes, n'en ont pas moins partager sur Twitter leurs découvertes, analyses et décryptages de cette attaque, confine au thriller.
