Les «rançongiciels» se suivent, et se ressemblent de moins en moins… WannaCry, avec sa spectaculaire vague du 12 mai, ne présentait déjà pas tout à fait les caractéristiques d’une opération cybercriminelle classique. Apparu cette semaine, ExPetr oriente de plus en plus les soupçons vers un autre scénario : celui des conflits de basse intensité qui ne disent pas leur nom.

WannaCry avait frappé en moins de vingt-quatre heures des entreprises et des institutions dans 150 pays, faisant «200 000 victimes», selon Europol, dont des hôpitaux britanniques, des banques russes ou le constructeur automobile français Renault. Déjà, nombre d'experts s'étaient interrogés sur les motivations des attaquants : opération purement crapuleuse ou test grandeur nature ? Questionnements qui se sont aiguisés à mesure que les recherches s'orientaient vers Lazarus, le groupe de pirates informatiques mis en cause dans la cyberattaque contre Sony en 2014 - et que les autorités américaines ont accusé d'être lié à la Corée du Nord.

Avec le nouveau logiciel malveillant apparu mardi - baptisé NotPetya puis ExPetr par l'éditeur russe d'antivirus Kaspersky, Nyetya par l'Américain Cisco Talos, ou encore Petya, du nom du ransomware repéré en 2016 dont il s'inspire -, un cap est franchi. Affectant principalement l'Ukraine, où il s'est d'abord manifesté, ExPetr s'est propagé en Russie, en Europe, aux Etats-Unis, en Australie. Touchant le métro de Kiev, la centrale nucléaire à l'arrêt de Tchernobyl, le transporteur maritime danois Maersk, le cabinet d'avocats américain DLA Piper, le géant français des matériaux Saint-Gobain… Or plus les éléments d'analyse technique s'accumulent, moins la motivation financière semble crédible. Tandis que se renforce la piste d'une volonté de sabotage et de destruction.

Au fur et à mesure des heures, puis des jours, plusieurs éléments ont en effet frappé les chercheurs en cybersécurité. Premier constat : à la différence de WannaCry, ExPetr ne vise manifestement pas à se répandre tous azimuts. Le premier dispose d’un mécanisme de propagation autonome sur Internet ; le second ne se diffuse qu’à l’intérieur des réseaux d’entreprise. Mais sa panoplie est plus étendue, et d’autant plus redoutable.

Le nouveau malware embarque deux outils de la NSA, la puissante agence de renseignement américaine, développés pour exploiter des failles dans le système d'exploitation Windows. Microsoft avait pourtant corrigé les failles en mars, mais les correctifs n'ont pas forcément été appliqués par tous les utilisateurs… Surtout, ExPetr utilise également des outils d'extraction de mots de passe et d'administration à distance. Autrement dit, tout ordinateur équipé d'un système Windows, même mis à jour, peut être contaminé.

Deuxième constat : l’objectif d’extorsion, rapidement sujet à caution, est apparu de moins en moins probable. Du rançongiciel, ExPetr a certes les apparences, exigeant de sa victime le paiement d’une rançon de 300 dollars (264 euros) en bitcoins et l’envoi d’un identifiant à une adresse mail une fois le versement effectué. Or, jeudi, Juan Andrés Guerrero-Saade, chercheur chez Kaspersky, et Matt Suiche, fondateur de la start-up émiratie Comae Technologies, qui tenaient ensemble une conférence en ligne, l’ont abondamment souligné : autant les concepteurs d’ExPetr ont soigné la capacité de leur logiciel malveillant à se propager, autant ils s’avèrent de bien piètres «rançonneurs». L’utilisation d’un seul portefeuille Bitcoin pour les versements rend la surveillance des transactions par les autorités bien plus aisée. Quant à l’adresse mail, ouverte chez un fournisseur de messagerie allemand, elle avait été désactivée par ce dernier dès mardi midi.

Incompétence ? Ou écran de fumée… Entre mercredi soir et jeudi matin, aussi bien Matt Suiche que Kaspersky et Cisco Talos sont parvenus à la même conclusion : pour eux, ExPetr ne relève pas du motif crapuleux, mais de l’intention destructrice. D’un côté, après s’être propagé, il verrouille à double tour les machines qu’il infecte : il chiffre d’abord les fichiers présents sur le disque dur puis, dans un second temps, le «catalogue» de tous les fichiers stockés (la «table de fichiers principale»), rendant ceux-ci inaccessibles. De l’autre, il empêche tout retour en arrière.

Ainsi, explique l'équipe de Kaspersky, l'identifiant attribué à une machine infectée, que la victime doit envoyer au «rançonneur», devrait contenir des informations permettant un déchiffrement ultérieur. Ce n'est pas le cas : il est généré de manière totalement aléatoire. En conséquence, «même si [les victimes] paient la rançon, elles ne récupéreront pas leurs données». De son côté, en France, l'Agence nationale de la sécurité des systèmes d'information (Anssi) indique que quand ExPetr, après avoir fait son office, «s'installe à la place du secteur de démarrage de Windows» pour lancer l'écran de demande de rançon, il détruit au passage la clé utilisée pour chiffrer la table de fichiers principale. Qui devient dès lors irrécupérable.

«L'objectif d'un ransomware est de gagner de l'argent», rappelle Matt Suiche sur son blog. Et pour cela, il faut que les victimes aient l'espoir de récupérer leurs données… Pour Suiche, l'apparence de rançongiciel est «un leurre» destiné à cacher les motivations réelles des attaquants. Point de vue de plus en plus partagé. «C'est un déguisement. Le but, c'est de nuire, de bloquer, de détruire, déclarait jeudi matin à l'Usine nouvelle Guillaume Poupard, le patron de l'Anssi, resté jusqu'ici très discret. Pour nous, c'est plus grave que WannaCry. Il y a moins de victimes, mais elles sont plus gravement touchées.»

Outre le soin apporté aux mécanismes de propagation et le caractère manifestement plus destructeur que crapuleux, un troisième élément ressort des recherches en cours sur ExPetr : l'Ukraine n'est pas qu'un «patient zéro», c'est la cible principale. D'après les chiffres donnés par Kaspersky mardi soir, alors que la propagation commençait à ralentir, 60 % des «2 000 attaques» recensées chez ses clients concernaient le pays. Vendredi matin, Microsoft avance un bilan de «moins de 20 000 machines infectées», dont «plus de 70 % […] étaient en Ukraine». Et pour cause. A ce jour, deux sources primaires d'infection ont été identifiées par Kaspersky, et les deux concernent l'Ukraine. Dès mardi soir, Costin Raiu, le directeur de l'équipe de recherche et d'analyse de Kaspersky, expliquait à Libération qu'ExPetr s'était diffusé mardi matin par le biais d'un logiciel ukrainien de comptabilité et de fiscalité, M.E.Doc, utilisé par de très nombreuses entreprises du pays : «Le mécanisme de mise à jour a été saboté, pour distribuer le malware aux clients de M.E.Doc.» L'entreprise a démenti avoir été piratée. Mais la piste a été confirmée tant par la police ukrainienne que par Cisco Talos et Microsoft.

Mercredi, Kaspersky a fait état d'une autre source d'infection : un site web ukrainien consacré à la région de Bakhmout. «Les visiteurs ont été mis en contact avec un fichier malveillant déguisé en mise à jour Windows», précise le communiqué de l'entreprise. Aucune autre méthode de contamination initiale n'est pour l'heure avérée. Il semble que si d'autres pays ont été affectés, c'est par ricochet. «Les entreprises qui sont impactées en France sont celles qui ont des activités en Ukraine, a souligné le patron de l'Anssi. Je n'ai pas de certitudes à 100 % encore mais je n'ai pas trouvé de contre-exemple.» De quoi expliquer d'ailleurs que la Russie soit le deuxième pays le plus touché, selon le décompte de Kaspersky : «Il y a des relations commerciales extrêmement denses entre Russes et Ukrainiens, explique à Libération Julien Nocetti, chercheur à l'Institut français des relations internationales (Ifri). Des entreprises russes qui sont en commerce ou qui passent des accords avec des entreprises ou des ministères ukrainiens utilisent M.E.Doc.» C'était aussi le cas de la filiale dans le pays du transporteur Maersk, dont le réseau était connecté à celui du siège, au Danemark. Dans ce cas, les effets se sont fait sentir jusqu'aux ports de Los Angeles et de Bombay.

Le choix de vecteurs de contamination initiale destinés à l'Ukraine relève-t-il de l'opportunisme ou du ciblage politique ? En tout état de cause, «le ciblage sur l'Ukraine semble plutôt délibéré, poursuit Nocetti. Ce sont les infrastructures critiques qui ont été affectées, pas seulement les institutions : le système bancaire, les aéroports, les télécoms, l'énergie, les chemins de fer…» Selon Kaspersky, «au moins la moitié des cibles [d'ExPetr] sont des organisations industrielles».

Quel pourrait être l'objectif d'une campagne intentionnelle ? «Le blocage de données sans volonté de les rendre de nouveau accessibles peut constituer un motif suffisant, pour déstabiliser un territoire et fragiliser l'Etat concerné, estime Nicolas Arpagian, directeur scientifique à l'Institut national des hautes études de la sécurité et de la justice et auteur de la Cybersécurité («Que sais-je», PUF). L'impact sera d'autant plus grand que le logiciel malveillant se propagera rapidement à un grand nombre d'infrastructures, une efficacité qui s'obtient par des phases successives de test à grande échelle.» Or l'Ukraine a déjà essuyé depuis 2014 nombre de cyberattaques. «Dès les premières révoltes de Maidan, un groupe de hackers prorusses, CyberBerkut, avait piraté les serveurs de la commission centrale électorale, rappelle Nocetti. Après l'annexion de la Crimée et les premiers événements dans le Donbass, il y a eu des attaques contre des réseaux télécoms et des centrales électriques. Il y a une sorte de pilonnage des institutions, des acteurs économiques, de l'industrie.» En décembre, un cinquième de la ville de Kiev avait vu son électricité coupée à la suite d'un piratage.

En la matière, la Russie fait figure de coupable idéal. «Cibler l'Ukraine est assez commode pour la Russie, explique le chercheur de l'Ifri. C'est dans sa sphère d'influence. Et étant donné le contexte actuel, avec la guerre dans le Donbass et l'occupation de la Crimée, il y a très peu de chances pour qu'il y ait une réplique de l'Otan ou des Etats-Unis.» Dans le cas d'ExPetr, comme le notent Matt Suiche et d'autres, la vague de malwares a été déclenchée le 27 juin, la veille de l'anniversaire de la Constitution ukrainienne… Le chef du conseil de défense du pays a d'ailleurs d'emblée mis en cause le puissant voisin.

Reste que 30 % des victimes recensées par Kaspersky sont russes… Et que de grandes entreprises ont été touchées, là aussi dans le secteur de l'énergie - le géant gazier Gazprom, le pétrolier Rosneft, le sidérurgiste Evraz - ou celui des banques. «Cela pose la question de l'épandage», note Nocetti. Pour Arpagian, «la question des auteurs doit être abordée sans idée préconçue. Il pourrait s'agir d'une démonstration grandeur réelle de sa capacité offensive par un groupe de pirates qui souhaiterait monnayer ses services». Ou agirait pour des motifs idéologiques. Toutes les hypothèses sont ouvertes.

D'où que vienne ExPetr, il semble désormais de plus en plus clair qu'il n'a pas été conçu par des cybercriminels ordinaires. Et qu'il s'apparente bien plus à une pièce supplémentaire dans le puzzle complexe et confus des rapports de force géopolitiques et des conflits qui se jouent sur le terrain numérique. «Il y a un brouillage des notions de guerre et de paix», relève Nocetti. «Dès lors qu'on admet que l'identification des auteurs sera longue, incertaine voire impossible, ces piratages devraient achever de convaincre les dirigeants des secteurs publics et privés de leur exposition au risque numérique», insiste Arpagian. Et de l'urgence d'y remédier. Surtout lorsqu'une campagne de malwares déployée dans un pays cible ne peut d'évidence y rester confinée.