Un rançongiciel d’un nouveau genre fait parler de lui. Baptisé Petya, il piège ses victimes en détournant le service de partage de fichiers Dropbox avant de chiffrer l’intégralité du disque dur puis de réclamer une somme en bitcoins équivalente à près de 400 euros. Pour le moment, il n’existe pas de parade susceptible d’éviter de payer la rançon pour sauver sa machine.
Le mois dernier, un rançongiciel (ou ransomware en anglais) du nom de Locky a semé la panique à travers la planète en attaquant des entreprises et des particuliers. Avec les États-Unis et l’Allemagne, la France fait partie des pays les plus touchés. Des abonnés de l’opérateur Free Mobile ont été ciblés à l’aide de fausses factures électroniques. L’Agence France-Presse (AFP) fut elle aussi victime de Locky, comme en a témoigné Alcino Pereira, le responsable de la sécurité des systèmes d’information. Et voici que l’on découvre une menace peut-être encore plus redoutable.
Un nouveau rançongiciel du nom de Petya a en effet été repéré depuis peu par les experts en sécurité. Il est apparu en Allemagne et cible les services des ressources humaines des entreprises à l’aide de faux courriels de candidature.
Le message contient un lien hypertexte vers un dossier en ligne Dropbox présentant un curriculum vitae et une photo. Si l’utilisateur ouvre l’un de ces deux fichiers, il libère le ransomware qui va alors chiffrer le contenu de son ordinateur et réclamer le paiement de 0,99 bitcoin, soit environ 370 euros au cours actuel de cette monnaie électronique. La victime a sept jours pour s’exécuter, après quoi le montant de la rançon est doublé.
Petya s’attaque à la zone d’amorçage du disque dur
Jusqu’ici, rien de bien étonnant dans la mécanique désormais bien rodée de ce type d’attaque. Sauf que Petya innove dans sa manière de s’en prendre aux données. Là où les autres rançongiciels se contentent de chiffrer les fichiers individuels de l’utilisateur, celui-ci applique un chiffrement à l’intégralité du disque dur et rend l’ordinateur totalement inutilisable.
Pour commencer, Petya s’attaque au Master Boot Record, la zone d’amorçage du disque dur sur laquelle se trouve la routine de démarrage du système d’exploitation. Puis, il s’occupe de la Master File Table (MFT), la table de fichiers principale. Il s’agit du premier fichier d’une partition NTFS (couramment utilisée par les PC Windows) qui renferme des informations cruciales sur tous les fichiers stockés sur le disque, notamment leur nom et leur taille.
Une fois que la MFT est chiffrée, l’ordinateur ne sait plus où se trouvent les fichiers ni même s’ils existent. Un message s’affiche alors sur l’écran expliquant à la victime que son disque dur a été chiffré avec un algorithme de niveau militaire. S’en suivent des explications ponctuées de « s’il vous plaît » qui guident la personne pas à pas dans la procédure jusqu’au paiement de la rançon pour obtenir la clé de décryptage qui lui permettra de libérer sa machine. On peut découvrir le fonctionnement de Petya dans une vidéo tournée par le site Bleeping Computer.
Selon les experts, il n’existe, à l’heure actuelle, aucune solution technique qui permette de restaurer les données gratuitement. Dropbox a immédiatement supprimé le dossier piégé, mais il ne faut pas se faire d’illusion, les concepteurs de Petya trouveront rapidement une alternative car les sommes en jeu sont colossales et les cybercriminels ont toujours un coup d’avance. Selon un rapport de la Cyber Threat Alliance (PDF), les créateurs du rançongiciel CryptoWall auraient récolté 325 millions de dollars (près de 287 millions d’euros) au cours de l’année passée.
L’année dernière, l’éditeur de solutions de sécurité Symantec constatait un doublement des attaques utilisant ce type de logiciel malveillant. Face à cette menace, difficile à anticiper, quelques règles élémentaires de prudence sont plus que jamais de mise :
Ne jamais ouvrir de fichier attaché ou de lien hypertexte dans un courriel dont on ne connaît pas l’expéditeur.
Posséder un antivirus mis à jour régulièrement.
Pratiquer des sauvegardes régulières de ses données et les stocker sur un support indépendant (disque dur externe, support optique et/ou service cloud).
Si l’on reçoit un courriel d’un fournisseur de service que l’on utilise (banque, opérateur Internet…) qui semble inhabituel, il faut avant tout le contacter afin de s’assurer qu’il en est bien l’émetteur.
Consulter régulièrement le site du CERT-FR pour se tenir informé des menaces existantes.