Maison Blanche : L’Irak a le virus anthrax La Russie a créé NotPetya


Moon of Alabama

Moon of Alabama

Par Moon of Alabama – Le 16 février 2018

Hier soir, la Maison Blanche a accusé l’armée russe d’avoir créé et propagé le malware destructeur « NotPetya » qui, en juin 2017 a infesté de nombreuses entreprises internationales.

Déclaration du porte-parole

En juin 2017, l’armée russe a lancé la cyber-attaque la plus destructrice et la plus coûteuse de l’histoire.

L’attaque, surnommée « NotPetya » s’est rapidement propagée dans le monde entier, causant des milliards de dollars de dégâts en Europe, en Asie, et dans les Amériques. Elle s’inscrivait dans le cadre des efforts continus du Kremlin pour déstabiliser l’Ukraine, et témoigne toujours plus clairement de l’engagement de la Russie dans le conflit en cours. Il s’agit également d’une cyber-attaque irresponsable et tous azimuts qui aura des conséquences internationales.

Cette déclaration ressemble à s’y méprendre aux déclarations précédentes accusant l’Espagne d’avoir fait exploser le Maine ou Saddam Hussein d’avoir des armes de destruction massive.

Ni les États-Unis ni personne d’autre n’a présenté la MOINDRE preuve de la MOINDRE implication russe dans la création ou la diffusion du malware NotPetya. Les États-Unis l’affirment sans pouvoir le démontrer.

Il est, en général, absolument impossible d’attribuer à qui que ce soit de telles cyber-attaques. Comme l’a expliqué John McAfee, qui a fondé une société anti-virus :

« Lorsque le FBI ou tout autre organisme affirme que les Russes ou que les Chinois ou que les Iraniens ont fait quoi que ce soit, ils mentent » a déclaré M. McAfee. (…)

« Un hacker capable d’entrer par effraction dans un système est tout à fait capable d’effacer ses traces. Si j’étais Chinois et que je voulais faire croire que les Russes l’ont fait, j’utiliserais la langue russe dans le code. J’utiliserais des techniques russes pour entrer par effraction dans les organisations, donc il n’y a tout simplement pas moyen de déterminer la source d’une attaque – c’est un mensonge. » (…)

« Je peux vous le garantir, si on a l’impression que ce sont les Russes qui l’ont fait, oui je peux vous garantir que ce n’était pas les Russes. »

Je suis d’accord avec McAfee. La CIA est certainement aussi d’accord avec lui. En effet WikiLeaks a publié un certain nombre d’outils cybernétiques de la CIA qu’une de ses sources lui avait procuré. Il s’agissait notamment de logiciels spécialement conçus pour que les attaques soient attribuées à d’autres que leurs auteurs :

« À travers le programme UMBRAGE de la Remote Devices Branch, la CIA collecte, enregistre et archive une grande quantité de techniques de piratage et de logiciels malveillants ‘volés’ à d’autres acteurs et/ou produits dans d’autres États y compris la Fédération de Russie.

Avec UMBRAGE et des programmes de ce type, la CIA peut non seulement augmenter la variété de ses attaques, mais elle peut aussi faire croire que ceux à qui ces programmes malveillants ont été volés sont à l’origine des attaques en laissant derrière elle leurs ’empreintes’. »

Presque tous les éléments qui permettent d’identifier l’origine d’une cyber-attaque peuvent aisément être falsifiés pour accuser quelqu’un qui n’a rien à voir avec elle.

Le British National Cyber Security Center, qui fait partie de l’organisation britannique d’espionnage informatique GCHQ, affirme également que l’armée russe est « presque certainement » responsable de l’attaque de NotPetya. Le Canada et les Australiens disent aussi la même chose.

Mais attention – ce ne sont PAS des sources indépendantes. Ils font partie, avec la Nouvelle-Zélande, de l’alliance d’espionnage des « Five Eyes ». D’après les dossiers de la NSA publiés par Edward Snowden, nous savons que les Five Eyes sont en pratique dirigés par la US National Security Agency :

« Un document interne cite les paroles du chef de la NSA, le lieutenant-général Keith Alexander, lors d’une visite à Menwith Hill en juin 2008 : ‘Pourquoi ne pouvons-nous pas intercepter tous les signaux tout le temps ? On dirait que cette question pourrait faire l’objet d’un bon programme d’été pour Menwith’. »

Menwith Hill est une base d’espionnage de la Royal Air force et fait partie de l’infrastructure du GCHQ. Que le responsable de la NSA puisse lui dicter son « programme d’été » montre où se trouve le vrai pouvoir.

Le gouvernement russe récuse fermement les accusations.

NotPetya était un virus destructeur qui se dissimulait sous la forme d’un ransomware 1. Il était constitué à la base d’outils d’attaque développés par la NSA qui ont ensuite été diffusés anonymement par quelqu’un dont le pseudo était Shadow-Broker. Un des vecteurs d’attaque utilisé par NotPetya était le mécanisme de mise à jour de logiciels de comptabilité fiscale communs à l’Ukraine et à la Russie. Mais le virus s’est rapidement propagé dans le monde entier :

« La banque centrale de l’Ukraine ; les ordinateurs du gouvernement ; les aéroports ; le métro de Kiev ; la compagnie d’électricité d’État Ukrenergo ; le système de surveillance des rayonnements de Tchernobyl ; et d’autres machines du pays ont été attaqués. Tout comme le géant pétrolier russe Rosneft, le cabinet d’avocats DLA Piper, le géant biopharmaceutique américain Merck, l’annonceur britannique WPP et la compagnie danoise Maersk, entre autres. »

C’est à la compagnie maritime danoise Maersk que NotPetya a causé le plus grand dommage. Elle a dû redémarrer complètement toute son infrastructure et a perdu entre 250 et 300 millions de dollars à cause de l’attaque.

La question qu’il faut toujours se poser lorsque de telles accusations sont portées est celle-ci : quel intérêt celui qui en est accusé avait-il à le faire ?

En janvier, le Washington Post a donné le coup d’envoi des accusations étasuniennes sur le malware NotPetya :

« La CIA a attribué à des pirates militaires russes une cyber-attaque qui a endommagé les ordinateurs en Ukraine l’année dernière. Leur but était de perturber le système financier de ce pays dans le cadre du soutien militaire de la Russie aux séparatistes fidèles au Kremlin. (…)

Selon des rapports classifiés cités par les responsables du renseignement américains, la CIA est arrivée, en novembre dernier, à la conclusion ‘presque sûre’ que l’agence d’espionnage militaire du GRU avait créé NotPetya. (…)

Les pirates travaillaient pour le service d’espionnage militaire GTsST, ou Main Center for Special Technology, selon la CIA. Cette unité est fortement impliquée dans le programme de cyber-attaque du GRU, qui comprend le lancement d’opérations d’influence. »

Quel aurait bien pu être le motif de l’« armée russe » de répandre un malware (mal fichu) qui détruit au hasard les fichiers informatiques d’entreprises du monde entier, y compris ceux de Rosneft, le géant russe du pétrole ? Ceux qui croient que le système financier ukrainien était la cible se trompent presque certainement. D’ailleurs aucune preuve ne vient corroborer ça. La Banque centrale ukrainienne n’a été qu’une des milliers de victimes de l’attaque.

Seulement 50 % environ des entreprises contaminées se trouvaient en Ukraine. La plupart d’entre elles n’étaient pas des sociétés financières. L’attaque a été lancée au moyen d’un mécanisme de mise à jour d’un logiciel comptable qui est également utilisé en Russie. Ce vecteur d’attaque initial a probablement été choisi simplement pour sa facilité d’utilisation. La société de logiciels comptables était très mal protégée contre les attaques. Les premiers ordinateurs infectés ont ensuite utilisé un mécanisme différent pour propager le malware à d’autres machines. L’attaque a été lancée un jour férié ukrainien, ce qui n’était pas le meilleur moyen de la propulser le plus vite possible dans toute l’Ukraine.

Le fait que l’Ukraine et la Russie aient été frappées en premier par les logiciels malveillants n’est probablement qu’une question d’horaire. Les États-Unis et la majeure partie de l’Europe occidentale dormaient encore lorsque le virus a commencé à proliférer. Il n’a fallu que quelques heures aux firmes d’anti-virus, dont la société russe Kaspersky, pour identifier les logiciels d’attaque. Une solution pour limiter les dégâts a été trouvée en moins de douze heures. Au moment où la journée de travail commençait aux États-Unis les firmes d’anti-virus avaient déjà publié des conseils et un code de protection. Si l’attaque n’avait pas été enrayée par un logiciel de protection, elle aurait affecté beaucoup plus d’ordinateurs. Et la plupart d’entre eux n’auraient pas été en Ukraine.

Il est extrêmement douteux que l’attaque NotPetya puisse être attribuée à une organisation russe comme le prétendent les Étasuniens. Il est généralement impossible d’identifier avec certitude l’origine d’une telle cyber-attaque. Il est facile à n’importe quel concepteur de virus un tant soit peu compétent de modifier le code pour que le virus paraisse avoir été créé par un tiers. La CIA elle-même développe des outils qui permettent de le faire.

Les logiciels attaquants semblaient de qualité assez médiocre. C’était un fourre-tout mal conçu créé à partir de logiciels malveillants et d’outils espions connus. L’attaque ne se limitait pas à un pays ou à une cible en particulier. Elle peut au mieux être décrite comme un acte de vandalisme d’échelle mondiale ciblant tout le monde et personne. On ne voit pas pourquoi une organisation d’État russe quelle qu’elle soit ferait quelque chose d’aussi inepte.

En 2009, la Russie a proposé de conclure un traité international interdisant les cyber-attaques. Ce sont les États-Unis, sous Obama, qui l’ont rejeté en disant que c’était « inutile » ; et ils ont continué d’élargir leurs propres capacités d’attaque.

Le gouvernement étasunien a lancé une guerre froide 2.0 contre la Russie. Le motif semble être essentiellement financier. Faire la chasse à quelques « terroristes » ne nécessite  pas de gros budgets militaires, mais déclarer la guerre à une puissance nucléaire, si.

Les accusations actuellement proférées contre la Russie ne sont pas plus fondées que les allégations passées d’armes de destruction massive en Irak. Espérons que ces nouvelles accusations n’auront pas des conséquences aussi lourdes !

Traduction : Dominique Muselet

Note

  1. Un ransomware, ou rançongiciel, est un logiciel malveillant qui prend en otage des données personnelles.
   Envoyer l'article en PDF