Infos - Souscription

09 75 18 80 51

[Brève] NotPetya infecte les anciens Windows

Illustration avec un ordinateur portable sur les genoux

Après WannaCry, une nouvelle vague de rançongiciel affecte à nouveau les machines sous Windows. Mais celui-ci est particulièrement violent avec des méthodes de chiffrements et de propagation plus importante. Si l'Ukraine est ciblée, l'infection a touché d'autres pays.

Alors que WannaCry est encore dans la tête des utilisateurs de Windows, une nouvelle vague d'infection vient de se déchaîner sur l'Internet. Le nouveau rançongiciel est plus violent que le précédent.

La nouvelle attaque a, un temps, été attribuée aux rançongiciels de la famille Petya, détectée en mars 2016. Du coup, le nom de code oscille entre Petya, NotPetya et GoldenEye. Mais le nouveau logiciel malicieux est plus virulent et plus malin que son prédécesseur. WannaCry exploitait une faille corrigée par Microsoft et chiffrait le contenu du disque dur. NotPetya exploite plusieurs failles dont la faille de WannaCry mais chiffre la table des matières des disques durs sous NTFS, le format de fichier natif de Windows, rendant illisible le disque dur (seul un formatage permet de récupérer le disque dur. Mais GoldenEye semble avoir été spécialement adapté pour attaquer l'Ukraine.

NetPetya possède plusieurs fonctions d'infections : en Ukraine, les pirates ont profité de la mise à jour d'un logiciel de comptabilité et de fiscalité, MEDoc, pour infecter de nombreuses sociétés et administration, en plus du traditionnel mail d’hameçonnage. Comme WannaCry, GoldenEye infecte ensuite le réseau de l'entreprise ou de l'habitation en utilisant les failles de Windows découvertes par la NSA, dévoilées par le groupe Shadow Brokers et corrigées par Microsoft en mars, avril et juin. Il utilise également des outils d'extraction de mots de passe et d'administration à distance.

Les entreprises et les administrations de l'Ukraine ont été les premières infectées : la banque centrale d'Ukraine a été touchée tandis que le métro de Kiev ne pouvait plus prendre de paiement par la carte bancaire. Les panneaux d'affichage dans les aéroports et les gares sont neutralisés. La compagnie d'électricité du pays, Ukrenergo, a vu son réseau informatique neutralisé mais pas la distribution d'électricité. Les supermarchés d'Auchan en Ukraine ont été touchés. Les autorités d'Ukraine ont coupé les ordinateurs de la centrale de Tchernobyl, qui sont infectés, et sont revenus aux mesures manuelles.

La Russie a également été infectée via l'entreprise pétrolière Rosneft et le sidérurgiste Evraz. En Europe, sont annoncés infectés le transporteur maritime danois Maersk, l'agence publicitaire britannique WPP et le géant de la cosmétique Beiersdorf (Nivea, Hansaplast, Eucerin, Juvena,...). Aux Etats-Unis, l'entreprise pharmaceutique Merck (Gardasil, Vioxx, Zocor,...) et le cabinet d'avocats DLA Piper sont touchés. En France, le groupe spécialisé dans les matériaux Saint Gobain a été le premier touché, suivi par la SNCF.

Les experts demandent aux utilisateurs de Windows de mettre à jour leur système d'exploitation.

Partager sur Facebook  Partager sur Twitter  Partager sur Google Plus 

Vous souhaitez recevoir nos actualités par mail ? Abonnez-vous à notre newsletter :