En juillet dernier, Guy-philippe Goldstein, expert en cybersécurité, décrivait dans L’ADN les ravages de l’attaque informatique NotPetya et pointait du doigt la culpabilité possible de la Russie. Neuf mois plus tard, le gouvernement britannique et la CIA ont bien publiquement attribué l’attaque au Kremlin. Retour sur l’analyse initiale…
Or, le vendredi précédent, les discussions se sont achevées sur un échec. Certains pays, tels que la Russie, ne veulent pas que le droit de la guerre traditionnel s’applique au cyber-espace. Ce droit demande entre autres à ce qu’en situation de conflit, on ne vise pas délibérément des cibles civiles, sans lien avec des objectifs militaires. L’échec signe l’absence de telles protections des civils dans le cyber-espace.
Une première évidence : il est impossible de récupérer les données après paiement de la rançon. L’identifiant indiqué à cet effet est inutile, généré aléatoirement. Pire : le maliciel efface des sections entières du disque dur. Il ne s’agit pas d’une opération de rançon, mais en fait de destruction pure et simple. La rançon, c’est un leurre pour les médias.
L’opération n’est pas crapuleuse. Elle est politique. La cible ? 65 pays sont atteints, mais c’est surtout l’Ukraine, en guerre avec la Russie depuis 2014, qui supporte le gros de l’attaque. Celle-ci proviendrait d’un update infecté de ME Doc, un logiciel de comptabilité imposé par les autorités ukrainiennes. On peut imaginer le désordre provoqué pour les sociétés locales et peut-être aussi pour l’évaluation des taxes & impôts. La société de cybersécurité ESET note que 4/5ième de ses clients ukrainiens sont touchés. Le secteur stratégique énergétique ou manufacturier y est ciblée en priorité : en Ukraine, l’industrie est frappée dès 08.00 du matin alors que le reste du tissu économique n’est atteint qu’à midi.
Les éléments exposés dans l’article de juillet dernier étaient basés à la fois sur une analyse politique et sur les analyses techniques de chercheurs indépendants (Matt Tait, The Grugq) et de société de cybersécurité (FSecure). Ce faisceau d’indices ne pourrait servir de preuve formelle en cas d’une action en justice contre le gouvernement russe par les très nombreuses sociétés privées occidentales qui ont été victimes de NotPetya.
Cependant, le 15 février dernier, les gouvernements du Royaume-Uni, des Etats-Unis, du Canada, de l’Australie et de la Nouvelle-Zélande ont publiquement désigné le Kremlin comme à l’origine de NotPetya. Aucune preuve matérielle n’a été fournie. Les agences gouvernementales craignent souvent que cela puisse révéler leurs méthodes d’espionnages. Mais il est rare que ces cinq pays, qui coopèrent étroitement dans le renseignement technique, s’alignent pour autant sur une action politique commune lourde de conséquences : la condamnation publique d’une grande puissance, la Russie.
On peut estimer que pour atteindre ce consensus public, les éléments de preuves techniques détenues par les agences de renseignement sont probablement très significatifs. L’action souligne aussi à quel point NotPetya constitue une grave ligne rouge, franchie par la Russie, avec des impacts lourds de conséquence sur le commerce international – la société danoise Maersk, le leader mondial du transport maritime de containers, aurait été ainsi obligé de réinstaller 45,000 PC et 4,000 serveurs. Le ministre danois de la défense soutient d’ailleurs la condamnation publique de la Russie par le gouvernement britannique.
Participer à la conversation