Cyberattaque WannaCry : un groupe de pirates liés à la Corée du Nord est suspecté
La propagation du virus WannaCry dans le monde entier est pour l’instant sous contrôle. Des experts en cybersécurité en cherchent l’origine et ont trouvé des premières pistes.
Des experts en sécurité informatique ont décelé des éléments susceptibles de lier la Corée du Nord à la cyberattaque mondiale qui a infecté plus de 300.000 ordinateurs dans 150 pays depuis vendredi. Les chercheurs ont commencé à explorer cette piste après un tweet de Neel Mehta, un chercheur en sécurité informatique de Google, qui a fait le rapprochement entre deux morceaux de code. L’un d’eux appartient à un malware du groupe Lazarus datant de 2015 et l’autre est un extrait WannaCry.
Un ingénieur de Kaspersky, poid lourds de la sécurité informatique, s’est penché sur cette hypothèse à la suite de ce tweet. Il a lui aussi trouvé d’autres bouts de code communs entre un programme malveillant utilisé par le groupe Lazarus, Contopee, et Wannacry.
Symantec, de son côté, a identifié dans WannaCry des outils également utilisés par le groupe de pirates.
Il est trop tôt pour établir l’implication de Lazarus à partir des éléments disponibles. «Les similarités constatées entre le programme malveillant lié à ce groupe et WannaCry ne sont pas suffisamment uniques pour suggérer de manière forte un opérateur commun», a déclaré un chercheur de FireEye, John Miller. «Nous sommes ouverts pour enquêter dans toutes les directions mais nous ne spéculons pas et nous ne pouvons pas confirmer cela», a indiqué à l’AFP Jan Op Gen Oorth, porte-parole d’Europol. «Il est trop tôt pour dire quoi que ce soit.»
Les pirates du groupe Lazarus, qui agissent selon certaines sociétés de sécurité informatique pour le compte de la Corée du Nord, ont été accusés du vol de 81 millions de dollars à la banque centrale du Bangladesh. Le groupe est connu pour avoir piraté Sony Pictures Entertainment lors de la sortie de The Interview. Le film avec James Franco et Seth Rogen pour têtes d’affiche ridiculisait le régime de Pyongyang. L’événement a eu lieu en 2014 et Barack Obama avait officiellement lié la République populaire à la cyberattaque. Ce scénario a toutefois été contesté.
Peu d’argent récolté, malgré la dimension de l’attaque
Le rançongiciel WannaCry s’est principalement répandu par le biais de messages malveillants, et a affecté des usines, des hôpitaux, des commerces et des écoles du monde entier. Moins de 70.000 dollars de rançon ont été versés aux auteurs de l’attaque, selon le conseiller à la sécurité intérieure américain Tom Bossert. Les sommes demandées pour recouvrer l’accès à son ordinateur commençaient à 300 dollars, un montant similaire à de précédentes attaques de grande ampleur, choisi pour déclencher un maximum de paiements. Au vu de la faiblesse du butin, certains experts doutent du mobile de l’attaque.
Selon le concepteur de logiciels antivirus Avast, basé en République Tchèque, la Russie, Taïwan, l’Ukraine et l’Inde ont été les plus touchés. Le nombre de nouvelles infections par le virus a fortement chuté lundi, par rapport au pic de plus de 9000 contaminations par heure enregistré vendredi.
(avec AFP et Reuters)