"Quelque 65.000 dollars récoltés" : une cyberattaque d’amateurs Auteur: A.Fr. (avec Freek Willems)

Belga
mar. 16/05/2017 - 17:52 A.Fr. (avec Freek Willems) Les auteurs de la vague de cyberattaques simultanées qui a touché des dizaines de pays le week-end dernier n’ont récolté jusqu’à présent que 65.000 dollars. "C’est peu comparé aux dégâts engendrés", a calculé le pirate éthique belge Inti De Ceukelaire. Il doute que les hackers aient travaillé à la demande de la Corée du Nord, parce qu’ils ont fait beaucoup d’erreurs de débutants. Une analyse que partagent plusieurs autres experts.

Le "rançongiciel" WannaCry a causé le week-end dernier d’énormes dégâts dans le monde. Plus de 200.000 entreprises ou particuliers dans quelque 150 pays ont été piratés. La vague d’attaques informatiques a engendré des millions d’euros de pertes.

On aurait donc tendance à qualifier cette cyberattaque de gros succès, si l’on se place du point de vue des pirates. Mais est-ce vraiment le cas ? Le motif de cette attaque n’est en effet pas encore clair. S’ils cherchaient à faire mal, ils y sont sans doute parvenus. Mais s’ils voulaient s’enrichir, c’est nettement moins réussi. Le pirate éthique belge Inti De Ceukelaire (photo) a en effet calculé que les hackers ne seraient parvenus, jusqu’ici, qu’à engranger 65.000 euros.

VRT

Le calcul est assez simple : le virus signale en effet trois comptes bitcoin sur lesquels les victimes du piratage peuvent verser une rançon pour récupérer leurs données bloquées par le logiciel malveillant. Etant donné que toutes les transactions en bitcoin sont publiques, on peut facilement vérifier combien d’argent a été versé par les victimes sur les trois comptes en question, précise l’avocat en droit fiscal Thomas Spaas, qui gère l’Association Bitcoin belge.

On ne sait par contre pas qui se cache derrière ces comptes. Mais d’après Inti De Ceukelaire, 65.000 dollars de rançon percus est vraiment peu, quand on sait quel impact le virus a eu au niveau mondial. "Je compare notamment avec le logiciel malveillant cryptolocker de 2013, qui a permis aux pirates de récolter en quelques jours plusieurs millions de dollars".

Arrêt d’urgence vite activé

Reporters

Le fait que les pirates aient si peu gagné proviendrait notamment du fait que le bouton d’arrêt d’urgence a rapidement été découvert, par hasard, par un jeune Britannique spécialiste en informatique. Ceci a permis de freiner la propagation du rançongiciel, estime De Ceukelaire. "Et puis beaucoup de gens piratés n’ont pas payé. Je pense que les pirates avaient mal calculé leur coup".

D’après le pirate éthique belge, la somme modeste récoltée par les hackers fait douter de leur motif d’enrichissement. Mais Inti De Ceukelaire estime néanmoins que les pirates voulaient effectivement gagner de l’argent. "Il se pourrait qu’ils ne voulaient que faire un maximum de dégâts, mais alors ils s’y sont pris de façon très désordonnée. Bien que les dommages aient été importants, ils auraient pu être encore nettement plus grands. L’arrêt d’urgence n’était par exemple pas une bonne idée de leur part". D’autres indices d’une attaque menée en amateurs ? Le fait que l’attaque ait été perpétrée juste avant un week-end, ce qui a donné aux entreprises le temps de protéger leurs ordinateurs. "Un virus lancé en pleine semaine aurait fait nettement plus de dégâts", précise De Ceukelaire.

Et puis les pirates ont eux-mêmes été victimes d’autres hackers. "Ils ont pu copier le virus pour récolter à leur tour de l’argent. Et les auteurs de l’attaque ont ainsi encore moins gagné".

"C’est un peu comme de voler la Mona Lisa"

AP

Thomas Spaas, qui gère l’Association Bitcoin belge, estime également que les pirates cherchaient avant tout à s’enrichir. Il qualifie également l’attaque d’échec. "Ils en ont complètement perdu le contrôle".

Et puis "le virus n’a pas fait la différence entre les nationalités des ordinateurs attaqués. D’autres virus l’ont par contre fait, épargnant ainsi, par exemple, les internautes russes. Le logiciel malveillant s’est attaqué au monde entier", précise Spaas, estimant donc que son but principal n’était pas de nuire de façon ciblée.

Il se demande si les pirates oseront même encore convertir leurs bitcoins en argent. "Les adresses bitcoin sont maintenant mondialement connues. La plupart des bourses bitcoin vont donc les refuser. Ce n’était pas très malin de mener une cyberattaque avec une rançon en bitcoin. C’est un peu comme de voler la Mona Lisa. Cela ne rapporte rien".

Un lien avec la Corée du Nord ?

Et qu’en est-il d’une éventuelle liaison avec la Corée du Nord, évoquée ces derniers jours ? Inti De Ceukelaire en doute, bien qu’un morceau du code dans le virus soit lié au Groupe Lazarus, qui est soupçonné d’avoir des liens avec le régime de Corée du Nord.

"Mais ce morceau de code peut avoir été copié par hasard, ou alors justement intentionnellement, pour mettre tout le monde sur la mauvaise piste. Il y a deux liens très faibles qui renvoient à la Corée du Nord. C’est possible, mais les pirates ont fait beaucoup de fautes d’amateurs. Ce que ne ferait pas une équipe de pirates soutenue par un gouvernement".

Kurt Berghs de Vasco Data Security arrive à la même conclusion. Les hackers ont fait trop d’erreurs de débutants, que le Groupe Lazarus n’aurait jamais laissé passer, écrivait-il dans un Blog. "Et pourquoi inclure l’arrêt d’urgence dans le virus ? Cela laisse supposer que le rançongiciel était encore dans sa phase de développement et a été diffusé trop rapidement".

Kaspersky/SecureList

Déjà paru: