Les rançongiciels se suivent, et se ressemblent de moins en moins… WannaCry, avec sa spectaculaire vague du 12 mai, ne présentait déjà pas tout à fait les caractéristiques d'une opération cybercriminelle classique. Apparu cette semaine, ExPetr oriente de plus en plus les soupçons vers un autre scénario : celui des conflits de basse intensité qui ne disent pas leur nom.

WannaCry avait frappé, en moins de vingt-quatre heures, des entreprises et des institutions dans plus de 150 pays, faisant selon Europol «200 000 victimes». Dont des hôpitaux britanniques, des banques russes, l'opérateur télécom espagnol Telefonica ou le constructeur automobile français Renault. Déjà, nombre d'experts s'étaient interrogés sur les véritables motivations des attaquants : opération purement crapuleuse, volonté de semer le désordre, test grandeur nature ? Questionnements qui se sont aiguisés à mesure que les recherches s'orientaient vers Lazarus, le groupe de pirates informatiques mis en cause dans la cyberattaque contre Sony en novembre 2014 – et que les autorités américaines ont accusé d'être lié à la Corée du Nord.

A lire aussi Cyberattaques, infection générale

Avec le nouveau logiciel malveillant apparu ce mardi – baptisé NotPetya puis ExPetr par l'éditeur russe d'antivirus Kaspersky, Nyetya par l'Américain Cisco Talos, ou encore Petya, du nom du ransomware repéré en mars 2016 dont il s'inspire –, un cap est franchi. Affectant principalement l'Ukraine, où il s'est d'abord manifesté, ExPetr s'est propagé en Russie, en Europe, aux Etats-Unis, en Australie. Touchant le métro de Kiev, la centrale nucléaire à l'arrêt de Tchernobyl, le transporteur maritime danois Maersk, le cabinet d'avocats américain DLA Piper, le géant français des matériaux Saint-Gobain… Or plus les éléments d'analyse technique s'accumulent, moins la motivation financière semble crédible. Tandis que se renforce, a contrario, la piste d'une volonté de sabotage et de destruction.

A lire aussi Le filon de la rançon

Au fur et à mesure des heures, puis des jours, plusieurs éléments ont en effet frappé les chercheurs en cybersécurité. Premier constat : à la différence de WannaCry, ExPetr ne vise manifestement pas à se répandre tous azimuts. Le premier dispose d'un mécanisme de propagation autonome sur Internet : il «scanne» le réseau à la recherche d'autres machines vulnérables. Le second, lui, ne se diffuse qu'à l'intérieur des réseaux d'entreprise. Mais sa panoplie en la matière est bien plus étendue, et d'autant plus redoutable.

Le nouveau malware embarque deux outils de la NSA, la puissante agence de renseignement américaine, développés pour exploiter des failles dans le système d'exploitation Windows : EternalBlue – déjà mis en œuvre par WannaCry – et EternalRomance. Ces outils avaient été divulgués en avril par un mystérieux groupe de pirates informatiques, les Shadow Brokers. Microsoft avait pourtant corrigé les failles en mars, mais les correctifs n'ont pas forcément été appliqués par tous les utilisateurs… Surtout, ExPetr utilise également des outils d'extraction de mots de passe et d'administration à distance, qui lui permettent d'infecter des machines qui ne seraient pas vulnérables à EternalBlue et EternalRomance. Autrement dit, tout ordinateur équipé d'un système Windows, même mis à jour, peut être contaminé.

A lire aussi La NSA dans le viseur des Shadow Brokers

Plus ciblé que WannaCry, ExPetr est donc aussi plus virulent dans sa propagation au sein d'un réseau local. D'évidence, il a pour objectif d'y faire le maximum de dégâts.

Deuxième constat : l'objectif d'extorsion, rapidement sujet à caution, est apparu de moins en moins probable. Du rançongiciel, ExPetr a certes les apparences : «Si vous voyez ce texte, c'est que vos fichiers ne sont désormais plus accessibles, parce qu'ils ont été chiffrés, pouvaient lire sur leur écran, mardi, les utilisateurs affectés. Peut-être êtes vous occupé à trouver un moyen de [les] récupérer, mais ne perdez pas votre temps.» Suivait une demande de rançon de 300 dollars (264 euros) en bitcoins, le numéro du compte sur lequel la verser, ainsi qu'une adresse mail, à laquelle la victime devait envoyer un identifiant pour récupérer une clé de déchiffrement, une fois la rançon payée.

Or ce jeudi, Juan Andres Guerrero-Saade, chercheur chez Kaspersky, et Matt Suiche, fondateur de la start-up émiratie Comae Technologies, qui tenaient ensemble une conférence en ligne, l'ont abondamment souligné : autant les concepteurs d'ExPetr ont soigné la capacité de leur logiciel malveillant à se propager, autant ils s'avèrent de bien piètres «rançonneurs». L'utilisation d'un seul portefeuille Bitcoin pour les versements rend la surveillance des transactions par les autorités bien plus aisée. Quant à l'adresse mail, ouverte chez un fournisseur de messagerie allemand, elle avait été désactivée par ce dernier dès mardi midi.

Incompétence ? Ou écran de fumée… Entre mercredi soir et jeudi matin, aussi bien Matt Suiche que Kaspersky et Cisco Talos sont parvenus à la même conclusion : pour eux, ExPetr ne relève pas du motif crapuleux, mais de l'intention destructrice. D'un côté, il verrouille à double tour les machines qu'il infecte : il chiffre d'abord les fichiers présents sur le disque dur puis, dans un second temps, le «catalogue» de tous les fichiers stockés (la «table de fichiers principale»), rendant ceux-ci inaccessibles. De l'autre, il empêche tout retour en arrière.

Ainsi, explique l'équipe de Kaspersky, l'identifiant attribué à une machine infectée, que la victime doit envoyer au «rançonneur», devrait contenir des informations permettant un déchiffrement ultérieur. Ce n'est pas le cas : il est généré de manière totalement aléatoire. En conséquence, «même si [les victimes] paient la rançon, elles ne récupéreront pas leurs données». De son côté, en France, l'Agence nationale de la sécurité des systèmes d'information (Anssi) indique que quand ExPetr, après s'être propagé et avoir chiffré les données, «s'installe à la place du secteur de démarrage de Windows» pour lancer l'écran de demande de rançon, il détruit au passage la clé utilisée pour chiffrer la table de fichiers principale. Qui devient, dès lors, purement et simplement irrécupérable.

«L'objectif d'un ransomware est de gagner de l'argent», rappelle Matt Suiche sur son blog – pour cela, encore faut-il que les victimes aient l'espoir de récupérer leurs données, ce qui semble ici impossible. Pour Suiche, l'apparence de rançongiciel est «un leurre» destiné à cacher les motivations des attaquants. Point de vue de plus en plus partagé. «C'est un déguisement. Le but, c'est de nuire, de bloquer, de détruire, déclarait jeudi matin à l'Usine nouvelle Guillaume Poupard, le patron de l'Anssi, resté jusqu'ici très discret. Pour nous, c'est plus grave que WannaCry. Il y a moins de victimes, mais elles sont plus gravement touchées.»

Outre le soin apporté aux mécanismes de propagation et le caractère manifestement plus destructeur que crapuleux, un troisième élément ressort des recherches en cours sur ExPetr : l'Ukraine n'est pas qu'un «patient zéro», c'est la cible principale du logiciel malveillant. D'après les chiffres donnés par Kaspersky mardi soir, alors que la propagation commençait à ralentir, 60% des «2 000 attaques» recensées chez ses clients concernaient le pays. Ce vendredi matin, Microsoft a avancé un bilan de «moins de 20 000 machines infectées», dont «plus de 70% […] étaient en Ukraine».

La carte de la diffusion d'ExPetr (ou NotPetya, ou Petya) établie par Microsoft.

Et pour cause. A ce jour, deux sources primaires d'infection ont été identifiées par Kaspersky, et les deux concernent l'Ukraine. Dès mardi soir, Costin Raiu, le directeur de l'équipe de recherche et d'analyse de l'éditeur russe, expliquait à Libération qu'ExPetr s'était diffusé mardi matin par le biais d'un logiciel ukrainien de comptabilité et de fiscalité, M.E.Doc, utilisé par de très nombreuses entreprises du pays : «Le mécanisme de mise à jour a été saboté, pour distribuer le malware aux clients de M.E.Doc.» L'entreprise a démenti avoir été piratée. Mais la piste a été confirmée tant par la police ukrainienne que par Cisco Talos et Microsoft.

Mercredi, Kaspersky a fait état d'une autre source d'infection : un site web ukrainien consacré à la région de Bakhmout. «Les visiteurs ont été mis en contact avec un fichier malveillant déguisé en mise à jour Windows», précise le communiqué de l'entreprise. Aucune autre méthode de contamination initiale n'est, pour l'heure, avérée. Il semble que si d'autres pays ont été affectés, c'est par effet collatéral. «Les entreprises qui sont impactées en France sont celles qui ont des activités en Ukraine, souligne le patron de l'Anssi dans l'Usine nouvelle. Je n'ai pas de certitudes à 100% encore mais je n'ai pas trouvé de contre-exemple.»

De quoi expliquer, d'ailleurs, que la Russie soit le deuxième pays le plus touché, selon le décompte de Kaspersky : «Il y a des relations commerciales extrêmement denses entre Russes et Ukrainiens, explique à Libération Julien Nocetti, chercheur à l'Institut français des relations internationales (Ifri). Des entreprises russes qui sont en commerce, ou qui passent des accords, avec des entreprises ou des ministères ukrainiens utilisent M.E.Doc.» C'était aussi le cas de la filiale dans le pays du transporteur Maersk, dont le réseau était connecté à celui du siège, au Danemark. Dans ce cas précis, les effets se sont fait sentir jusqu'aux Etats-Unis, dans le port de Los Angeles, et en Inde, dans celui de Bombay.

Le choix de vecteurs de contamination initiale destinés à l'Ukraine relève-t-il de l'opportunisme, ou du ciblage politique ? En tout état de cause, «le ciblage sur l'Ukraine semble plutôt délibéré, poursuit Nocetti. Ce qui est marquant, c'est que sont les infrastructures critiques qui ont été affectées, pas seulement les institutions : le système bancaire, les aéroports, les télécoms, l'énergie, les chemins de fer…» Selon Kaspersky, «au moins la moitié des cibles [d'ExPetr] sont des organisations industrielles».

Quel pourrait être l'objectif d'une campagne intentionnelle ? «Le blocage de données sans volonté de les rendre de nouveau accessibles peut constituer un motif suffisant, pour déstabiliser un territoire et fragiliser l'Etat concerné, estime Nicolas Arpagian, directeur scientifique à l'Institut national des hautes études de la sécurité et de la justice et auteur de la Cybersécurité («Que sais-je», PUF). L'impact sera d'autant plus grand que le logiciel malveillant se propagera rapidement à un grand nombre d'infrastructures, une efficacité qui s'obtient par des phases successives de test à grande échelle.»

Or l'Ukraine a déjà essuyé, depuis 2014, nombre de cyberattaques. «Dès les premières révoltes de Maidan, un groupe de hackers prorusses, CyberBerkut, avait piraté les serveurs de la Commission centrale électorale ukrainienne, rappelle Julien Nocetti. Après l'annexion de la Crimée et les premiers événements dans le Donbass, il y a eu des attaques contre des réseaux de télécommunications et des centrales électriques. Il y a une sorte de pilonnage des institutions, des acteurs économiques, de l'industrie.» En décembre 2016, un cinquième de la ville de Kiev avait vu son électricité coupée après un piratage informatique.

En la matière, la Russie fait figure de coupable idéal. «Cibler l'Ukraine est assez commode pour la Russie, explique le chercheur de l'Ifri. C'est dans sa sphère d'influence. Et étant donné le contexte actuel, avec la guerre dans le Donbass et l'occupation de la Crimée, il y a très peu de chances pour qu'il y ait une réplique de l'Otan ou des Etats-Unis.» Dans le cas d'ExPetr, comme le notent Matt Suiche et d'autres, la vague de malware a été déclenchée le 27 juin, la veille de l'anniversaire de la Constitution ukrainienne… Le chef du conseil de défense du pays a d'ailleurs, d'emblée, mis en cause le puissant voisin.

Reste que 30% des victimes recensées par Kaspersky sont russes… Et que de grandes entreprises ont été touchées, là aussi dans le secteur de l'énergie – le géant gazier Gazprom, le pétrolier Rosneft, le sidérurgiste Evraz – ou celui des banques. «Cela pose la question de l'épandage», note Julien Nocetti. Pour Nicolas Arpagian, «la question des auteurs doit être abordée sans idée préconçue. Il pourrait s'agir d'une démonstration grandeur réelle de sa capacité offensive par un groupe de pirates qui souhaiterait monnayer ses services». Ou qui agirait pour des motifs idéologiques. Autrement dit, toutes les hypothèses sont ouvertes : les attaques informatiques, rappelle-t-il, sont «le terrain privilégié des parties de billard à trois bandes».

D'où que vienne ExPetr, il semble désormais de plus en plus clair qu'il n'a pas été conçu par des cybercriminels ordinaires. Et qu'il s'apparente bien plus à une pièce supplémentaire dans le puzzle, complexe et confus, des rapports de force géopolitiques et des conflits qui se jouent sur le terrain numérique. «Il y a un brouillage des notions de guerre et de paix», relève Nocetti. «Dès lors qu'on admet que l'identification des auteurs sera longue, incertaine voire impossible, ces piratages devraient achever de convaincre les dirigeants des secteurs publics et privés de leur exposition au risque numérique», insiste Arpagian. Et de l'urgence d'y remédier. Surtout lorsqu'une campagne de malware déployée dans un pays cible ne peut, d'évidence, y rester confinée.