Des spécialistes de sécurité informatique estiment avoir découvert un lien potentiel entre la Corée du Nord et la cyberattaque mondiale qui sévit depuis vendredi, certains avertissant de nouvelles attaques possibles.
Il est « trop tôt » pour spéculer sur les auteurs de cette cyberattaque non revendiquée, a estimé mardi le porte-parole d’Europol Jan Op Gen Oorth, « l’investigation est en cours ». Selon l’Office européen des polices, le nombre d’adresses IP infectées dans le monde a reculé de 38% par rapport à dimanche, à 165 000 mardi matin contre 226 800 victimes dimanche. De nombreux correctifs de sécurité ont été mis en place durant le week-end. Lundi soir, le conseiller à la Sécurité intérieure du président américain Donald Trump, Tom Bossert, estimait à plus de 300 000 le nombre d’ordinateurs infectés dans quelque 150 pays. Il a assuré qu’aucune branche du gouvernement américain n’avait été touchée.
Des spécialistes de la sécurité informatique en Corée du Sud, aux États-Unis, en Russie et en Israël ont pointé du doigt la Corée du Nord, même s’il n’y a encore aucune preuve. Simon Choi, directeur de la société de sécurité informatique Hauri basée à Séoul, a expliqué mardi que le code utilisé pour l’attaque montre de nombreuses similarités avec des précédents dans lesquels ce pays a été incriminé, notamment contre Sony Pictures en novembre 2014 ou la Banque centrale du Bangladesh en février 2016. De nouvelles attaques sont possibles, a averti Simon Choi, « en particulier parce que, contrairement à des tests balistiques ou nucléaires, ils (les Nord-Coréens, NDLR) peuvent démentir leur implication dans les attaques menées dans le cyberespace et s’en sortir impunément ». « J’ai vu des signes l’an dernier que le Nord préparait des attaques avec des logiciels de rançon ou même avait déjà commencé à lancer de telles attaques, en visant certaines compagnies sud-coréennes », a-t-il ajouté, citant un vol de données de 10 millions d’utilisateurs chez Interpark, site sud-coréen de commerce en ligne, avec une demande de rançon de 3 millions de dollars.
Dès lundi, Neel Nehta, informaticien chez Google, avait mis en ligne des codes informatiques montrant certaines similarités entre le virus WannaCry, un logiciel de rançon utilisé dans l’attaque, et une autre série de piratages attribués à la Corée du Nord.
Un coup de Lazarus, « l’usine à virus » ?
Selon la firme Kaspersky, les similarités des codes pointent vers un groupe de pirates informatiques baptisé Lazarus, qui serait derrière l’attaque de 2014 contre Sony Pictures lors de la sortie d’un film produit par Sony moquant le dirigeant nord-coréen Kim Jong-Un. « L’échelle des opérations de Lazarus est choquante », selon les chercheurs de Kaspersky. « Ce groupe a été très actif depuis 2011. Lazarus est une usine à virus qui produit de nouveaux échantillons grâce à une multitude de fournisseurs indépendants ».
De son côté, le directeur exécutif de l’entreprise de sécurité informatique israélienne Intezer Labs, Itai Tevet, a écrit lundi soir sur Twitter qu’ « @IntezerLabs confirme l’attribution de #WannaCry à la Corée du Nord, pas seulement en raison de la fonction de Lazarus. Plus d’informations à venir ».
Le virus exploite une faille dans les systèmes d’exploitation Windows du géant américain Microsoft, décelée depuis longtemps par la NSA (l’agence de sécurité nationale américaine) avant de tomber dans le domaine public via des documents piratés au sein de la NSA. A la Maison Blanche, Tom Bossert a rétorqué : « il ne s’agit pas d’un outil développé par la NSA pour rançonner des données ». Le virus est à présent « détectable par les outils de cybersécurité », a affirmé lundi Michel Van Den Berghe, directeur général d’Orange Cyberdefense, filiale cybersécurité du groupe français Orange. Mais « il y a des tas de gens qui vont se servir de la souche pour générer des variantes », nouvelles et donc indétectables par les antivirus, a-t-il averti. L
e chef des services secrets néerlandais Rob Bertholee a averti mardi que le monde pourrait connaître prochainement un « acte grave de sabotage numérique » touchant des infrastructures vitales qui provoquerait « troubles, chaos et désordre ». Il a indiqué que les Pays-Bas considéraient déjà la Corée du Nord comme une possible menace pour leurs systèmes informatiques. « Nous sommes déjà spécifiquement préoccupés par un nombre limité d’États, dans notre liste favorite, vous pouvez trouver la Russie, la Chine, l’Iran, et je pense que la Corée du Nord pourrait être tout aussi bien un adversaire très capable », a-t-il affirmé.
Le Quotidien/AFP