Un outil de destruction camouflé. C’est la thèse qui émergeait mercredi soir, au lendemain de la vaste cyberattaque qui a secoué l’Ukraine et le reste du monde. Car si le ver NotPetya (ou ExPetr/PetrWrap, selon les versions) était d’une rare sophistication, capable de contaminer 5.000 PC d’un réseau en dix minutes, le système visant à obtenir une rançon était codé avec les pieds. Selon le Français Matthieu Suiche, expert en sécurité chez Comae, c’est parce que le malware était en fait un « wiper », chargé de détruire un disque dur et de causer « le maximum de dégâts ».

Des secteurs critiques du disque dur détruits

Suiche s’est rendu compte que le code du rançongiciel Petya a été réécrit pour détruire des secteurs critiques du disque dur. Du coup, l’opération ne peut pas être inversée si une victime paie la rançon, alors que les hackers motivés par le gain prennent en général soin des données.

Etre payé n’était clairement pas la priorité des auteurs de l’attaque. Nicholas Weaver, expert en sécurité à l’université de Berkeley, expliquait mardi à 20 Minutes que l’adresse email fournie par les hackers était donnée en clair au lieu d’utiliser, comme c’est la coutume, le réseau d’anonymisation Tor. Du coup, elle a aussitôt été bloquée par le fournisseur d’email Posteo, et ceux qui ont payé n’ont donc pas pu recevoir la clé pour libérer leurs données.

Autre élément suspect : au lieu d’utiliser un portefeuille Bitcoin par victime, il y avait une adresse unique pour tout le monde, facilement traçable. Bilan : mercredi soir, seulement 45 entreprises avaient payé la rançon de 300 dollars, pour un total anecdotique de 10.000 dollars.

Le spectre d’un acteur d’Etat

Selon Weaver, il est difficile de comprendre que des hackers talentueux aient pu « merder à ce point ». Matthieu Suiche partage ses doutes et porte ses soupçons sur un acteur d’Etat qui aurait voulu détourner l’attention du public pendant qu’il semait le chaos.

Selon le fabricant d’antivirus Kaspersky, 60 % des attaques ont frappé l’Ukraine. Elles ont paralysé des banques et des stations-service, mis à mal le métro de Kiev et les panneaux d’affichage de son aéroport. Dans l'ex-centrale de Tchernobyl, à l'arrêt depuis l'accident nucléaire d'avril 1986, la mesure du niveau de radioactivité est repassée en mode manuel. Dans les autres pays, seulement une poignée d’entreprises ont été touchées.

Il y a six mois, le virus « Industroyer » avait attaqué une centrale électrique de Kiev et provoqué une courte panne d’électricité dans la ville. Selon plusieurs experts, il serait relié à la Russie. Pour l’instant, personne n’accuse Moscou d’être derrière la nouvelle attaque, qui a également touché le groupe pétrolier russe Rosneft. Mais Nicholas Weaver rappelle que parfois, la propagation d’un ver est difficile à contrôler et qu’il y a souvent des victimes collatérales…