En Ukraine, les wipers, des logiciels malveillants, comme arme de guerre

L’industrie de la cybersécurité les désigne généralement sous le terme anglais de « wipers » : des logiciels malveillants dont le but est de procéder à la destruction de données ou de système informatique. Le début de l’offensive russe sur le sol ukrainien a été marqué par l’explosion de leur usage. Depuis l’attaque contre les équipements de réception du réseau satellitaire Viasat, les chercheurs en cybersécurité ont identifié une dizaine d’attaques informatiques employant des wipers contre des cibles ukrainiennes. Ils ne sont pour autant pas nés avec le début de la guerre en Ukraine : on peut ainsi citer l’attaque ayant visé l’entreprise Saudi Aramco en 2012, tout comme le logiciel malveillant NotPetya qui s’était propagé en 2017 à de nombreuses entreprises à travers le monde.

Les wipers utilisent des techniques et des outils proches de ceux employés par les groupes de rançongiciels ou les groupes dits « APT », c’est-à-dire les opérateurs d’attaques persistantes et avancées. Seul leur objectif change : il ne s’agit pas de bloquer l’accès à des données avant d’exiger une rançon en échange d’une clé de déchiffrement, mais simplement les supprimer, les effacer (to wipe, en anglais).

Le précédent NotPetya

La destruction de données n’obéit pas une logique de gain financier : « Aujourd’hui, on sait que ce sont généralement des États qui sont derrière ce type d’attaque. L’objectif est soit politique, pour faire passer un message, ou soit à des fins militaires, comme c’était le cas dans l’attaque de Viasat » explique Paul Rascagnères, analyste de logiciel malveillant au sein de la société américaine Volexity. Et parmi les attaques recensées et connues du public, le responsable pointé du doigt est bien souvent la Russie : c’est le gouvernement russe qui est accusé d’être à l’origine de l’attaque NotPetya en 2017, c’est également lui qui est accusé d’être à l’origine de l’attaque contre Viasat, et c’est enfin la Russie que l’on retrouve à la manœuvre en Ukraine. Ce type d’attaque n’est pourtant pas exclusif au Kremlin : les chercheurs de la société de cybersécurité slovaque ESET ont par exemple identifié leur utilisation contre des entreprises israéliennes, soulignant les activités d’un groupe « affilié à l’Iran ». « Au final, assez peu de pays utilisent ces logiciels. Ce qui ne veut pas dire que d’autres n’en sont pas équipés » souligne Paul Rascagnères.

La proximité entre rançongiciels et wipers a souvent été exploitée par les créateurs de ces derniers. Ainsi, la cyberattaque NotPetya en 2017 avait toutes les apparences d’un rançongiciel. Ce n’était pourtant qu’une façade : en réalité, aucun mécanisme ne permettait de récupérer l’accès aux données affectées. En revanche, NotPetya était doté d’un système de propagation automatique : si les premières entreprises visées étaient basées en Ukraine, le logiciel malveillant s’est rapidement déployé au travers d’internet et a causé d’importants dégâts chez de nombreuses entreprises à travers le monde. En France, Saint-Gobain estimait ainsi le coût total de son infection à plus de 200 millions d’euros de chiffre d’affaires.

Il vous reste 45.89% de cet article à lire. La suite est réservée aux abonnés.