Alors que l’attaque qualifiée de plus massive jamais connue déferle sur les ordinateurs du monde entier depuis quelques jours, la réalité de la nature du « worm » (ver informatique) se fait jour. D’abord appelé Petya, pour être ensuite différencié de ce ransomware (logiciel de rançon) et rebaptisé NotPetya, il semble maintenant qu’il ne s’agit même pas d’un ransomware.

Un encodage indéchiffrable ?

En effet, il n’y aurait aucun moyen de récupérer les données encryptées par ce logiciel. Cette impossibilité n’aurait pas de rapport avec la fermeture de l’adresse mail utilisée par les concepteurs de NotPetya pour s’assurer du paiement par les victimes, mais serait un effet de la nature même de NotPetya. Dans son rapport paru le 27 juin, l’expert en sécurité connu sous le pseudonyme de « the grugq » affirme que NotPetya est conçu pour se propager rapidement et causer des dégâts, pas pour collecter des fonds. Ainsi, il utilise une couverture plausible de ransomware sans en être un.

Il semblerait que le logiciel jette la clef permettant le décryptage des données qu’il verrouille, comme le rappelle la société de cybersécurité Comae Technologies : un ransomware comme l’original Petya modifie le disque de manière à ce que le changement puisse être réversible, ce que ne permet pas NotPetya.

Il reste 85 % de l'article à lire