Faut-il tuer le soldat ex/not/Petya, 14 millions de hit Google au garrot, soit le plus gros prorata d’articles de presse alarmistes par machine infectée jamais atteint ? Un impact quantitatif excessivement faible (aux environs de 20 000 victimes selon les éditeurs d’antivirus, généralement prompts à noircir le tableau). Ce n’est même pas la moitié de la population des Causses, l’un des lieux les plus désertiques de France. Chiffre à comparer également aux quelques 400 millions de noyaux W10 que Microsoft affirme avoir vendu depuis son lancement. Le tout se déroulant en pleine crise de schizophrénie du côté des spécialistes de la SSI, la moitié d’entre eux conspuant les énormités publiées par la presse en général, la seconde moitié (bien souvent appartenant à la même entreprise ou organisation) s’empressant de rédiger communiqués de presse sur messages twitter pour hurler au loup plus fort que le concurrent. Même les organismes officiels ( l’Anssi, Europol, l’Enisa ) y vont de leur avertissement. L’Otan déclare également les Patries en Danger et réclame une « réponse concertée ». Encore faudrait-il déterminer dans quelle direction orienter les cybercanons, chargés avec quel type de cyber-obus et de quelle manière endosser les cyber-gilets pare-virus. Une fois de plus, l’effet Stuxnet frappe fort et la profession perd quelques points dans l’estime et le niveau de confiance des victimes réelles ou potentielles. Qui croire ? A force de refuser toute communication par crainte de trahison des propos techniques (lesquels sont inévitables ), les chercheurs en sécurité, les vrais, délèguent par défaut ce pouvoir aux « vendeurs »… après tout, il est toujours plus facile et rassurant de condamner le messager que celui qui pousse le cri d’alarme. Simple question de realpolitik économique.
Que doit-on retenir de Petya++ ?
– Qu’il est possible de l’appeler par n’importe quel nom si l’on en juge par les efforts des responsables marketing du secteur de la défense périmétrique. Hélas, contrairement à Heartbleed et autres attaques médiatiques du même calibre, ce virus n’est pas accompagné d’un joli logo.
– Qu’il permet enfin, après le vent du boulet médiatique Wannacry, de justifier auprès des Directions Générales de moyens humains et budgétaires jusqu’à présent gelés, voire dans certains cas, en net repli. Et peut-être de toucher la corde sensible des usagers jusqu’alors hermétiques aux campagnes de sensibilisation.
– Qu’il soulève une fois de plus la question de la complexité des déploiements de correctifs, tests de régression ou gestion des procédures de remédiation automatique (NAC et assimilés) capables de bloquer une infection « interne » déclenchée par un ordinateur mobile ou… un port 445 laissé ouvert.
– Que oui, sans l’ombre d’un doute, une attaque du calibre de Wannacry est généralement suivie d’une réplique telle que überPetya. Une réplique qui ne se contente pas d’être une simple mutation du code originel. Le fait que Petya_Wrap intègre une interprétation de EternalBlue, exploit de la NSA sur une faille SMB v1, et qu’il soit apparenté à la classe des ransomwares ne doit pas cacher que les auteurs de malware aiment perfectionner leurs Å“uvres en multipliant les vecteurs de propagation. Cette fois, outre la faille SMB « made in NSA », était ajouté PsExec (très officiel outil de prise de contrôle à distance de Microsoft) et LsaDump, outil originellement intégré à Mimikatz, chargé du dump de la SAM (base de données des comptes d’un système Microsoft). Et très franchement, le grand public se moque de ces subtilités. Seuls les artilleurs savent ce que contiennent leur charge utile.
Ce genre d’évolution, ou plus exactement de variations sur un thème, est un « même » dans le monde de l’édition de virus. On ne compte plus les variantes, échos, répliques ou retrofits de Stuxnet par exemple. Certes, la composition du cocktail varie fortement, la complexité des mécanismes d’évasion et de virtualisation évolue, les erreurs de jeunesse grossières sont éliminées. Mais NotPetya est indiscutablement un descendant ou une inspiration de WannaCry, quand bien même dans le détail technique, il en serait très éloigné.
– Qu’il existe de fortes présomptions que l’agression ait été pilotée par un Etat-Nation, en raison de la concentration des frappes dans la cybérie Ukrainienne, ainsi que l’affirme l’éditeur d’antivirus Eset (juge et partie, faut-il le rappeler). Les éventuels indices nationaux cachés dans le code sont, quant à eux, bien plus sujets à caution mais, en revanche, cette vague virale est concomitante à une intensification des accrochages (très peu virtuels ceux-là ) entre la Russie et l’Ukraine. Les officiers supérieurs du renseignement Ukrainien sont frappés d’une épidémie fatale, et les hasards ou coïncidences, dans ce genre de situation, sont hautement improbables. Il va sans dire que la seule évocation de cette hypothèse dans les milieux « autorisés » soulève en général un tollé de protestations. « Impossibilité technique de l’attribution », « complexité des moyens pouvant servir à remonter l’origine de l’agression », « délires paranoïaques de gratte-papiers en mal de sensationnalisme »… Et c’est bien là le second syndrome schizophrénique du monde de la recherche SSI. Il est de bon ton d’admettre officiellement que certains chercheurs travaillent ouvertement dans le business de la faille militarisée, mais plus difficile de reconnaître que, parfois, ces mêmes entreprises dérapent (Amesys, Hacking Team) ou fassent l’objet d’une polémique (Vupen). Voir que leurs propres clients, considérés comme irréprochables, puissent à leur tour se faire pirater et leur arsenal vendu à l’encan, puis utilisé ensuite par d’autres techno-barbouzes, sous d’autres étendards. Hélas, plus le temps passe, plus les exemples prouvant le contraire se multiplient, moins les professionnels parviennent à accepter cette responsabilité partagée.
– Qu’aucune grande entreprise ou administration n’a eu, bien entendu, à souffrir de dommages collatéraux ni a été frappée par Petya 2.0, toute question aux services de communication extérieure desdites entreprise se soldant par une réponse formulée dans la plus pure des langues de bois. On en arrive à se demander si vraiment ce virus a existé.