Tech&Co
Cybersécurité

Des virus crées par la NSA ont pu être utilisés dans la cyberattaque mondiale

Piratage informatique. (Allégorie)

Piratage informatique. (Allégorie) - Colin-Wikimedia Commons-CC

Alors qu'un nouveau logiciel malveillant frappe le monde, les regards se tournent, une fois n'est pas coutume, vers l'agence américaine. Elle est notamment soupçonnée d'avoir créer les outils utilisés par des pirates pour rançonner les entreprises.

Le 15 avril 2017, Microsoft assurait que les failles utilisées par la NSA étaient corrigées. Problème, les correctifs déployés pour protéger les machines n'ont pas tous été installés puisque une attaque similaire frappe actuellement le monde, continuant d'utiliser des failles logicielles pour se propager. Selon les premières analyses de Microsoft, "le rançongiciel (qui demande une somme d'argent pour le déblocage de votre ordinateur, NDLR) utilise plusieurs techniques pour se propager, y compris celle qui a été traitée par une mise à jour de sécurité déjà diffusée pour tous les systèmes, de Windows XP à Windows 10, appelée MS17-010", a indiqué à l'AFP un porte-parole du groupe. Sans résultat.

Pour d'autres experts du secteur, la nature du logiciel malveillant diffère. D'après plusieurs spécialistes de cybersécurité, le virus responsable, "Petrwrap", est une version modifiée du ransomware Petya qui avait frappé l'an dernier. Kaspersky [Editeur d'antivirus, NDLR] a de son côté affirmé qu'il s'agissait "d'un nouveau ransomware, qui n'a jamais été vu jusqu'ici." 

Tous s'accordent en revanche sur le fait que l'attaque actuelle est de très grande ampleur. En plus des failles de Windows, une mise à jour d'un logiciel de finances ukrainien est également montré du doigt comme vecteur de propagation

Corée du Nord ou NSA?

Le 12 mai dernier, un autre rançongiciel, "Wannacry", avait affecté des centaines de milliers d'ordinateurs dans le monde, paralysant notamment les services de santé britanniques (NHS) et des usines du constructeur automobile français Renault. Ses auteurs réclamaient, comme actuellement, une rançon pour débloquer les appareils. 

L'éditeur américain d'antivirus Symantec avait alors mis en cause le groupe de pirates informatiques Lazarus, soupçonné d'avoir partie liée avec la Corée du Nord. Selon un rapport d'analyse publié en février dernier (Operation Blockbuster) ces hackers étaient, entre autres, à l'origine du cybersabotage de Sony Pictures en 2014 pour laquelle le FBI avait clairement accusé la Corée du Nord.

Mais une autre origine revient de manière récurrente: la NSA ou National Security Agency, soit l'agence de renseignement américaine dont Edward Snowden avait révélé avec fracas certaines pratiques. L'agence, avec l'aide d'un groupe de hackers de haute-volée nommé Equation Group, aurait mis au point des outils malveillants destinés à espionner les ordinateurs sur lesquels ils s'installaient.

Une mise aux enchères des logiciels volés à la NSA?

Or, un autre groupe de hackers, nommé The Shadows Brokers (les courtiers de l'ombre, en français) est réputé comme ayant piraté des documents de la NSA et mis à disposition du plus offrant les codes malveillants.

L'origine nord-américaine des outils malveillants ne fait guère de doute pour certains spécialistes. Dès le 19 août 2016, le média spécialisé dans les questions de sécurité The Intercept, établissait le lien avec l'agence et Edward Snowden.

Les méthodes de The Shadow Brokers sont également étonnantes. En décembre 2016, sur le réseau décentralisé ZeroNet (réseau utilisant la cryptographie Bitcoin et le protocole BitTorrent), les hackers proposent moyennant 1.000 bitcoins (soit plusieurs centaines de milliers d'euros), un arsenal d'outils de piratage. Une activité que le groupe dit avoir cessé en janvier 2017. Et pour cause, certains expert soulignent que ce genre de transaction ne se réalisent pas de manière si ouverte, ce qui serait bien trop risqué pour les éventuels acheteurs.

Quant aux motivations de The Shadow Brokers, elles restent également assez confuses. Dans un message du 8 avril 2017 publié sur Medium.com formulé dans un anglais hésitant, le groupe se dit déçu par la présidence de Donald Trump. L'éviction du très droitier Stephen Bannon du Conseil de sécurité national, ou les frappes de représailles en Syrie y sont, entre autres, dénoncées.

David Namias