La première vague semble avoir été endiguée. Alors que le rançongiciel Wannacry a touché plus de 200.000 personnes dans 150 pays, mettant notamment à mal les infrastructures informatiques du système de santé britannique, des chercheurs ont découvert des indices sur son origine. Et les premiers signes pointent vers la Corée du Nord.

Neel Mehta, informaticien chez Google, a mis en ligne des codes informatiques montrant certaines similarités entre le virus « Wannacry », qui a touché 150 pays, et une autre série de piratages attribués à la Corée du Nord. D’autres experts ont rapidement conclu que ces indices, même s’ils ne sont pas complètement concluants, prouvent que la Corée du Nord aurait pu fomenter cette attaque informatique.

« Pour le moment davantage de recherches sont nécessaires dans les versions plus anciennes de Wannacry », a noté la société de sécurité informatique Kaspersky. « Nous pensons que cela pourrait renfermer la clé de certains mystères autour de cette attaque. Une chose est sûre : la découverte de Neel Mehta est l’indice le plus significatif pour le moment concernant les origines de Wannacry », ajoute Kaspersky.

70.000 dollars versés, aucune donnée libérée

« WannaCry », un logiciel de rançon (« rançongiciel ») combinant pour la première fois les fonctions de logiciel malveillant et de ver informatique, verrouille les fichiers des utilisateurs et les force à payer 300 dollars (275 euros) pour en recouvrer l’usage. La rançon est demandée en monnaie bitcoin, une monnaie virtuelle qui préserve l’anonymat de ses propriétaires. Selon le rapport officiel du gouvernement américaine, 70.000 dollars ont été versés mais aucune donnée n’a été libérée.

Selon la firme Kaspersky, les similarités dans les codes pointent vers un groupe de pirates informatiques baptisé Lazarus, qui serait derrière l’attaque informatique de 2014 contre les studios Sony Pictures. Les pirates sont aussi suspectés de s’en être pris à la Banque centrale du Bangladesh et à d’autres acteurs du système financier international.

« L’échelle des opérations de Lazarus est choquante », poursuivent les chercheurs de Kaspersky. « Ce groupe a été très actif depuis 2011. Lazarus est une usine à virus qui produit de nouveaux échantillons par une multitude de fournisseurs indépendants ».

Intezer Labs, entreprise de sécurité informatique israélienne, semble d’accord sur l’implication de la Corée du Nord. Son directeur exécutif Itai Tevet a écrit sur Twitter : « @IntezerLabs confirme l’attribution de #WannaCry à la Corée du Nord, pas seulement en raison de la fonction de Lazarus. Plus d’informations à venir ».