NotPetya
Un faux ransomware diffusé via un logiciel comptable ukrainien a englouti dix milliards de dollars de transport maritime, de pharmacie et de fret en un seul après-midi.
L’après-midi du 27 juin 2017, les écrans en Ukraine ont commencé à afficher la même demande de rançon rouge et noire. En moins d’une heure, le même message apparaissait sur des moniteurs à Copenhague, Mumbai et Hobart.
Un cheval de Troie nommé M.E.Doc
Le vecteur s’appelait M.E.Doc, un logiciel ukrainien de déclarations fiscales — aussi indispensable pour faire des affaires à Kyiv que TurboTax l’est aux États-Unis. Un attaquant avait compromis le serveur de mises à jour et poussé un correctif malveillant à tous les clients en même temps.
Ce que ce correctif livrait n’était pas vraiment un ransomware. Cela en avait l’apparence, mais la clé de déchiffrement promise n’existait pas. L’objectif du logiciel malveillant était la destruction.
Le prix d’être dans le mauvais réseau
Maersk, premier transporteur de conteneurs au monde, a vu 49 000 ordinateurs portables et 4 000 serveurs s’effacer eux-mêmes en l’espace d’une heure. La compagnie a survécu grâce à un seul contrôleur de domaine, situé dans un bureau ghanéen, qui était hors-ligne à cause d’une coupure de courant sans rapport avec l’attaque. Cette machine isolée est devenue la graine à partir de laquelle l’Active Directory mondial a été reconstruit.
La Maison-Blanche a évalué plus tard les dégâts mondiaux à dix milliards de dollars et a attribué l’opération au renseignement militaire russe.
Ce que la chronique retient
NotPetya est ce qui se rapproche le plus, jusqu’ici, d’une arme stratégique échappée à sa cible. Une campagne visant l’Ukraine a percuté, en quelques heures, les chaînes logistiques d’entreprises sans rapport et sur d’autres continents. La leçon, encore en cours d’assimilation, est que toute entreprise suffisamment connectée vit désormais dans le rayon d’explosion de quelqu’un d’autre.