Faisant suite à la stratégie nationale pour l’intelligence artificielle (SNIA) lancée en 2018, le Gouvernement vient de se doter en septembre 2023 d’un comité de l’intelligence artificielle générative. Ces initiatives illustrent, outre l’importance médiatique que l’IA ne cesse d’avoir depuis la mise à disposition du grand public de ChatGPT, l’urgence pour le secteur public français de s’approprier ces nouvelles technologies.
BLOG | Les Wipers : enquête sur un nouveau type de cybermenace
07/07/2023
L’année 2022 a été marquée par de nombreuses attaques ciblant les villes, les hôpitaux, et d’autres services publics… Face à ces menaces grandissantes, il faut mettre à jour ses lignes de défense. Sommes-nous proches d’un black-out numérique causé par des pirates déterminés ?
L’année 2023 commence sur les chapeaux de roues ! J’espère que vous aimez le Punk Rock, car vous allez swinger… allez-vous résister au pogo ? Les Wipers semblent être de retour… Nous avons suivi les experts en cybersécurité qui ont mené l’enquête.
I) Une découverte effrayante…
En décembre 2022, de nombreuses alertes suscitent une attention particulière.
Des programmes malveillants type ransomwares, wipers… ont été détectés dans les systèmes de plusieurs organismes en France.
Face à ces risques grandissants le 20 janvier 2023, à l’occasion de ses vœux aux armées, le Président de la République a défendu une loi de programmation militaire ambitieuse.
Un des objectifs attire plus particulièrement notre attention : l’investissement des capacités de la cyberdéfense française doublé entre 2024 et 2030.
Considérons par exemple l’événement WhisperGate de janvier 2022, avant l’invasion de l’Ukraine. Une attaque informatique ayant « défiguré » une vingtaine de sites des autorités de ce pays, en affichant un message de menace. Même si cette attaque semble anodine, elle ne l’est pas. Pour preuve, quelques jours après cet événement, nous avons assisté à la déstabilisation de ce pays.
WhisperGate n’est pas qu’un ransomware déguisé, c’est un outil qui détruit les systèmes d’informations.
> Journal de l’enquêteur Indice n°1
Le cybercrime
• Détection de nombreux malwares de type Wiper touchant plusieurs organismes français
• La capacité de la cyberdéfense française pourrait doubler entre 2024-2030
• Un événement témoin en Ukraine : WhisperGate
II) Les Wipers : une arme redoutable et de grande ampleur
Parmi les cyberattaques, les ransomware sont souvent considérés comme étant les plus meurtriers. Détrompez-vous ! Bien que ce type d’attaques soit très impactant, la récupération des fichiers peut s’avérer possible suite à une négociation avec les hackers.
Il en est tout autrement pour les malwares de type Wiper. Ceux-ci ne cherchent pas à voler de l’argent ou à vendre des informations. Leur seul objectif est la destruction du système d’information. En fait, on peut comparer le malware de type Wiper à un ouragan qui anéantirait tout sur son passage sans se préoccuper des dégâts qu’il pourrait occasionner.
D’ailleurs, sa traduction française « essuie-glace » confirme cette idée.
Ce Wiper est bivalent : frappe politique et arme économique, ce qui le rend d’autant plus puissant et dangereux. Ses cibles privilégiées sont les gouvernements, les grandes entreprises et les organisations médiatiques.
> Journal de l’enquêteur Indice n°2 :
Les Wipers : une arme redoutable et de grande ampleur
• Caractéristiques : Détruit irrémédiablement les systèmes
• Objectif : Frappe politique et arme économique pouvant déstabiliser un pays et fragiliser son économie.
• Cibles : Gouvernements, grandes entreprises et organisations médiatiques
III) Historique de l’usage des malwares de type Wiper
Le Wiper est une souche virale informatique moderne datant du XXIe siècle.
Les premiers cas de Wiper sont apparus au Moyen-Orient en 2012.
La virologie informatique ne cesse de se réinventer, nous sommes loin de l’époque de la création du virus informatique inoffensif « Creeper », créé en 1971 par Bob Thomas.
> Cinq événements clé ont marqué l’histoire des Wipers :
- 2022/2023 - Ukraine, "WhisperGate" "HermeticWiper"
- Cibles : les organisations publiques ukrainiennes
- 2017- Monde, "NotPetya"
- Cibles : les grandes entreprises dans le monde (Allemagne, France…)
- 2014 - États-Unis, "Destover"
- Cible : Sony Picture Entertainment
- 2013 - Corée du Sud, "Dark Seoul"
- Cibles : Les banques et sociétés de médias simultanément
- 2012 - Moyen-Orient, "Shamoon"
- Cibles : Les sociétés énergétiques saoudiennes (Saudi Aramco)
Les pirates ne cessent d’innover, la menace plane constamment sur le monde entier.
Citons en référence NotPetya qui a occasionné énormément de dégâts dans de nombreux de pays. L’ombre du malware Destover plane encore, dopée par l’usage d’un certificat volé à la société Sony Pictures, ce qui rend ses attaques encore plus efficaces…
> Journal de l’enquêteur
Indice n°3 : Généalogie des Wipers
• Nouvelles souches virales nées en 2012
• Usage de plus en plus fréquent
IV) Mode opératoire des Wipers
L’attaque se décline en 3 étapes :
1. Contaminer
Infecter le plus de machines possibles, en utilisant les outils de partage Windows et en exploitant des vulnérabilités non patchées. Certains Wipers se servent également du téléchargement frauduleux comme moyen de diffusion.
Les créateurs du malware NotPetya ont piraté la page d’accueil du site web de la ville ukrainienne de Bakhmut pour déclencher le téléchargement automatique d’une fausse mise à jour Windows en 2017.
2. Dormir
Le malware n’effectue aucune action et reste dans un état léthargique pour ne pas éveiller les soupçons. Telle la belle au bois dormant, il faudra un déclencheur pour le réveiller.
Celui-ci devra être discret afin d’éviter de se faire détecter lors du lancement de la commande de l’assaut.
3. Détruire « The Final Countdown »
Le malware vient de recevoir la commande de passage à l’action.
C’en est fini pour le système d’exploitation cible. Celui-ci ne démarrera plus. Son MBR (Master boot record) et sa MFT (Master File Table) viennent d’être écrasés par des scripts malveillants.
Les fichiers présents sur un système protégé par Bitlocker (Windows) ou Luks (Linux) ne peuvent plus être récupérés.
En l’absence d’une sauvegarde des données répartie sur différents sites géographiques, l’atteinte des serveurs de sauvegarde de données et la destruction des postes de travail peut être irréversible.
> Journal de l’enquêteur Indice n°4
Le mode opératoire du crime
• Infecter le plus de machines possibles
• Attendre les ordres d’un hacker
• Lancer l’attaque destructrice du système d’information.
V) Conclusion de l’enquête
Notre enquête, maintenant terminée, montre que les Wipers sont des armes dévastatrices.
Dans le contexte des tensions géopolitiques actuelles, ce type de menaces doit être pris au sérieux.
Il ne fait aucun doute que des mesures importantes doivent être mises en place afin de prévenir l’usage de ce type de virus qui a le pouvoir de paralyser un pays.
Face à une paralysie totale possible d’un système d'information, les remèdes sont limités.
Il est conseillé de rester vigilant et d’adopter une sauvegarde des données réparties pour assurer la résilience du système d’information.
> Pour lutter contre les Wipers, les experts conseillent de :
- Protéger les machines.
- Mettre à jour les composants (système d’exploitation, logiciels, antivirus…).
- Sensibiliser les utilisateurs à l’hygiène sécurité.
- Apprendre à identifier les tentatives de phishing et éviter ainsi l’installation de malware.
- Protéger les infrastructures.
- Planifier des sauvegardes régulières dissociées et isoler les machines infectées.
- Organiser la gestion de crise.
- Être prêt en cas d’attaque réussie.
- Avoir testé son plan de reprise d’activités et préparer une communication et actions.
Sources :
- https://www.usinenouvelle.com/article/pourquoi-macron-reclame-un-budget-record-400-milliards-d-euros-pour-les-armees.N2091011
- https://www.bankinfosecurity.com/wiper-attacks-how-sony-hack-compares-a-7655
- https://zetter.substack.com/p/wiper-in-ukraine-used-code-repurposed
- https://www.silicon.fr/destover-malware-revient-signe-sony-103952.html