Attaque au ransomware Bad Rabbit : "Aucun pays ne peut se considérer à l'abri"

Attaque au ransomware Bad Rabbit : "Aucun pays ne peut se considérer à l'abri"

DirectLCI
INTERVIEW - La nouvelle cyberattaque qui a frappé ce mardi l'Ukraine et la Russie pourrait être la plus importante depuis celle de juin et NotPetya qui avait d'abord touché ces deux pays avant de faire le tour du monde. Doit-on dès lors craindre une diffusion de même ampleur ? Eléments de réponse avec un spécialiste de la cybersécurité.

Chaque nouvelle cyberattaque agite le spectre de la précédente. Comme NotPetya avant lui, le logiciel malveillant Bad Rabbit chiffre les ordinateurs touchés pour réclamer une rançon en bitcoins. Quatre mois après avoir été frappés les premiers par une campagne au ransonware qui avait finalement fait le tour du monde, l'Ukraine et la Russie sont les proies d'une nouvelle épidémie, qui a commencé à se propager mardi 24 octobre. 


Alors qu'environ 200 organisations, dont des établissements publics, des médias et des sites stratégiques, ont déjà été affectées par Bad Rabbit, à quoi doit-on s'attendre ces prochaines heures et ces prochains jours ? LCI a posé la question à Nicolas Arpagian, directeur scientifique à l’Institut national des hautes études de la sécurité et de la justice, auteur de La Cybersécurité ("Que sais-je", PUF).

Journaliste : Doit-on redouter une attaque massive type Petya ou NotPetya ?

Nicolas Arpagian : Il faut rester prudent car les indications dont on dispose pour l’instant sur Bad Rabbit sont parcellaires. On n’a pas encore fait l’analyse que l’on qualifie de "post mortem", qui consiste à disséquer le mode opératoire. Et on ignore notamment combien de personnes ont payé la fameuse demande de rançon de 300 dollars qui est apparue sur leur écran. Pour l’instant, il est donc un peu tôt pour connaitre la motivation du commanditaire et savoir si le logiciel malveillant concerné a vocation à être uniquement crapuleux. La chose intéressante, en revanche, c’est le mode d’infection, à savoir le fait de leurrer l’utilisateur en lui donnant l’illusion qu’il doit mettre à jour un logiciel flash. En principe, ce mode opératoire élaboré est plutôt réservé aux attaques de grande ampleur. Au confort de cela, les 200 qui ont été touchées, peuvent sembler plutôt modestes à ce stade. Mais le caractère "modeste" s’apprécie au regard des moyens investis. Encore une fois, on ne sait pas si on est face à des ambitions et des acteurs d’origine comparables à NotPetya. Si les commanditaires de l’attaque Bad Rabbit s’avèrent être deux personnes dans leur garage, c’est plutôt un joli coup. En l’occurrence, la vague Petya avait montré que l’attaque ne visait pas du tout à restituer les données mais à les détruire, écartant la piste du seul schéma crapuleux. Dans le cas de Bad Rabbit, il y a davantage manifestement une intention de destruction qu’une intention crapuleuse. Compte-tenu de la nature de la cible, à savoir à nouveau la Russie et l’Ukraine, et du mode opératoire, on ne peut donc pas écarter l’option politique, ou en tout cas envisager la seule option crapuleuse. Dans ce cas, le facteur inquiétant est le fait que ce type de logiciel peut avoir une capacité de diffusion importante.

Journaliste : Quels sont les éléments qui peuvent contribuer à cette propagation ?

Nicolas Arpagian : Lorsqu’il y a une interconnexion des systèmes d’une entreprise à l’autre, n’importe quel pays qui n’était pas visé par l’attaquant initial peut se retrouver concerné. C’est ce qu’il s’est passé en mai 2017 lorsque l’usine Renault de Douai a été infectée à cause d'une filiale en Slovénie. En l’occurrence, les zones géographique assez vastes touchées par l’attaque Bad Rabbit (Ukraine et Russie et, dans une moindre mesure, l'Allemagne et la Turquie) témoignent de l’interconnexion des systèmes et de la rapidité de diffusion. Autant d’éléments qui peuvent compliquer le travail des enquêteurs, mais il y en a un autre. Le fait qu’il arrive que des pirates rendent disponibles les codes des logiciels malveillants, comme dans le cas de WannaCry. Dans ce cas, le risque est que d’autres personnes se mettent à l’utiliser quelques temps plus tard, soit dans sa version originelle, soit dans une version modifiée et parfois sous un autre nom. Autrement dit, un logiciel malveillant peut avoir une vie au-delà de son grand moment de gloire et il devient d’autant plus difficile de savoir ce qui est lié à l’attaque originelle ou à une version dégradée. De manière générale, il faut se préparer à cette tendance de versions anciennes revisitées parfois dans d’autres zones géographiques.

Journaliste : La France peut donc logiquement être concernée ?

Nicolas Arpagian : On ne peut pas considérer qu’on est à l’abri d’une telle infection. Aucun pays, et certainement pas la France, ne peut considérer qu’il est à l’abri de ce type d’attaque, notamment à cause des entreprises interconnectées et du fait qu’à un moment, le logiciel peut se retrouver dans la nature et donc accessible à quelqu’un se décide à l’utiliser de manière nationale. En tout cas, il n’existe pas de protection française immanente qui serait le fruit d’une protection géographique concernant cette version actuelle de Bad Rabbit ou ses éventuelles versions modifiées. Il faut donc partir de l’idée qu’il y a des attaques qu’on ne pourra pas empêcher. Par contre, il faut faire en sorte de les déceler le plus rapidement possible et d’empêcher leur propagation.

Plus d'articles

Sur le même sujet