Mais siiiii, cette saloperie de malware qui a paralysé la planète en 2017 et qui s’est révélée être en fait un programme destructeur déguisé en ransomware. Eh bien, tenez-vous bien :
selon les équipes d’ESET
, un petit nouveau vient d’arriver sur la scène, et il s’appelle HybridPetya. Et ce petit gars a appris des nouveaux tours que son grand-père NotPetya ne maîtrisait pas à l’époque.
Martin Smolár, le chercheur d’ESET qui a découvert cette petite merveille, explique que HybridPetya combine le pire des deux mondes : les capacités destructrices de NotPetya ET la récupération possible des données de Petya. Mais surtout, et c’est là que ça devient technique, ce truc est capable de contourner Secure Boot sur les systèmes UEFI.
Pour ceux qui auraient oublié l’enfer de 2017, je vous fais un petit rappel historique. Petya, c’était le ransomware “gentil” qui chiffrait vos données mais vous permettait théoriquement de les récupérer si vous payiez la rançon. NotPetya, son cousin maléfique, c’était le faux ransomware qui détruisait tout sur son passage. Cette saloperie a causé plus de 10 milliards de dollars de dégâts dans le monde, principalement en Ukraine où elle a été initialement déployée via une mise à jour piégée du logiciel de comptabilité M.E.Doc.
Maintenant, là où HybridPetya innove, c’est qu’il récupère le meilleur (ou le pire, selon le point de vue) des deux. Il peut détruire comme NotPetya, mais aussi permettre la récupération des données comme Petya. Une sorte de ransomware à géométrie variable, quoi.
Sauf que ce n’est pas le plus inquiétant…
Le truc vraiment flippant avec HybridPetya, c’est sa capacité à s’installer directement dans le firmware UEFI de votre machine. Pour les non-initiés, UEFI c’est le système qui s’occupe du démarrage de votre ordinateur, avant même que Windows ne se réveille. En gros, si un malware réussit à s’installer là-dedans, il survit à tout : formatage du disque dur, réinstallation complète du système, et même changement de disque dur. C’est un niveau persistance maximale.
Alors, comment il fait ça, ce HybridPetya ? Eh bien, il utilise deux méthodes d’attaque. La première, c’est l’installation directe de charges utiles malveillantes sur la partition système EFI. Une fois là-dedans, il chiffre la Master File Table (MFT) de votre système NTFS, ce qui rend tous vos fichiers complètement inaccessibles. Et surtout, il sait exploiter
la vulnérabilité CVE-2024-7344
pour contourner Secure Boot.
Cette faille, découverte également par les équipes d’ESET, se trouve dans l’application Howyar Reloader UEFI. En gros, cette application, qui est normalement signée par Microsoft et donc considérée comme fiable, contient une vulnérabilité qui permet de charger du code non-signé pendant le processus de démarrage. C’est comme si vous donniez les clés de votre maison à quelqu’un en lui disant “tu peux faire rentrer qui tu veux, je te fais confiance”.
Après pas de panique les amis, car il faut préciser que pour l’instant, HybridPetya n’a été repéré que sur VirusTotal, la plateforme d’analyse de malwares. Aucune autre infection dans la nature n’a été détectée par les télémétries d’ESET. Il s’agit donc probablement d’un proof-of-concept développé par un chercheur en sécurité ou un groupe de hackers pour démontrer que c’était possible. Mais le fait que ça existe, ça veut surtout dire que d’autres peuvent s’en inspirer.
Toutefois, HybridPetya rejoint désormais un club très fermé car il est maintenant le quatrième malware connu capable de contourner UEFI Secure Boot, après BlackLotus (qui exploite
CVE-2022-21894
),
Bootkitty
(qui cible Linux), et le PoC Hyper-V Backdoor. Comme le souligne Martin Smolár : “Cela montre que les contournements de Secure Boot ne sont pas seulement possibles… ils deviennent plus courants et attractifs pour les chercheurs comme pour les attaquants”.
BlackLotus, pour rappel, c’était déjà du lourd.
Découvert en 2023
, ce malware était vendu 5 000 dollars sur le dark web et était capable de tourner sur des systèmes Windows 11 entièrement à jour avec Secure Boot activé. Il pouvait désactiver BitLocker, HVCI, et Windows Defender, et installer des pilotes malveillants au niveau kernel. Du grand art, dans le mauvais sens du terme.
Maintenant concrètement, comment on se protège contre ce genre de menaces ? Parce que bon, c’est bien beau de faire peur aux gens, mais il faut aussi donner les solutions.
Et bien première chose, maintenez vos systèmes à jour. Microsoft a corrigé la vulnérabilité CVE-2024-7344 dans le Patch Tuesday de janvier 2025 donc si vous avez appliqué cette mise à jour ou une version ultérieure, vous êtes protégés contre HybridPetya. C’est la base, mais c’est crucial.
Deuxième chose, activez et configurez correctement UEFI Secure Boot. Même si des contournements existent, Secure Boot reste une barrière importante. Assurez-vous qu’il soit activé et que vos listes de révocation soient à jour. Microsoft révoque régulièrement les certificats compromis, et ces révocations sont normalement appliquées automatiquement sur Windows.
Troisième conseil, surveillez votre partition système EFI.
Selon les recommandations de CISA
, les équipes de sécurité devraient être capables d’auditer, gérer et mettre à jour les composants UEFI, et surveiller les logs d’activité UEFI pour détecter toute modification suspecte. Utilisez des solutions de sécurité capables de détecter les modifications au niveau UEFI… Certains antivirus modernes incluent des fonctionnalités de protection du firmware. Ce n’est pas infaillible, mais ça ajoute une couche de protection. En gros, il faut traiter ce firmware comme n’importe quel autre logiciel avec une surveillance et des mises à jour régulières.
Quatrième point, et c’est important, limitez les privilèges administrateur. Pour déployer HybridPetya, il faut des droits d’administrateur local sur Windows ou root sur Linux pour accéder à la partition système EFI. Moins il y a d’utilisateurs avec ces privilèges, mieux c’est.
Et puis, il y a les bonnes pratiques classiques qui restent valables telles que les sauvegardes régulières (et déconnectées !), la formation des utilisateurs, de la surveillance réseau, et une restriction des droits d’accès. Parce qu’au final, même le malware le plus sophistiqué a besoin d’un vecteur d’infection initial.
Quoiqu’il en soit, ces bootkits UEFI représentent une escalade significative dans la sophistication des malwares car ils opèrent à un niveau si bas qu’ils sont extrêmement difficiles à détecter et à supprimer pour les solutions de sécurité traditionnelles.
C’est intéressant également de noter que HybridPetya ne semble pas avoir les capacités de propagation réseau agressives du NotPetya original. Rappelez-vous, NotPetya utilisait l’exploit EternalBlue (développé initialement par la NSA) pour se propager de machine en machine sur les réseaux et c’est cette capacité de ver informatique qui avait permis à NotPetya de causer autant de dégâts en si peu de temps.
De son côté HybridPetya semble plus axé sur la persistance que sur la propagation massive. C’est probablement un choix tactique car plutôt que de faire du bruit et d’alerter tout le monde, mieux vaut s’installer discrètement et durablement sur les systèmes ciblés.
Depuis quelques années, les groupes APT (Advanced Persistent Threat) privilégient de plus en plus la furtivité et la persistance plutôt que l’impact immédiat visible, car un malware qui survit silencieusement pendant des mois ou des années peut collecter bien plus d’informations sensibles qu’un ransomware qui chiffre tout en quelques heures.
Bref, gardez vos systèmes à jour, surveillez vos logs, et surtout, ne sous-estimez jamais l’ingéniosité des types qui passent leurs journées à trouver des moyens créatifs de péter vos systèmes….
Le VPN intégré de Free dans ses offres mobiles a été vu comme une solution permettant de contourner la vérification de l'âge à l'entrée des sites pornographiques. Mais il n'y a pas que ça à relever.
Le VPN intégré de Free dans ses offres mobiles a été vu comme une solution permettant de contourner la vérification de l'âge à l'entrée des sites pornographiques. Mais il n'y a pas que ça à relever.
Vous savez où se cache votre dossier %APPDATA% ? Parce qu’il semblerait que les équipes de
Bitdefender aient mis au jour
une petite pépite chinoise baptisée EggStreme (jeu de mots !!!) qui s’y terre et qui n’a rien de très comestible !
Tout commence aux Philippines, où une entreprise militaire se retrouve dans la ligne de mire de ce malware, ce qui vu l’ambiance tendue qui règne actuellement en mer de Chine méridionale, n’est probablement pas un pur hasard. Les chercheurs ont en effet mis la main sur un framework d’espionnage si élaboré qu’il ne laisse quasiment aucune trace sur le disque dur car tout se déroule dans la RAM.
Ce qui donne des sueurs froides avec EggStreme, c’est sa technique d’infiltration, connue sous le nom de DLL sideloading. En clair, les assaillants glissent un fichier Windows légitime (WinMail.exe) dans le dossier %APPDATA%\Microsoft\Windows\Windows Mail\ avec une DLL malveillante (mscorsvc.dll). Windows, le pauvre miskine, charge alors le tout sans broncher, persuadé qu’il a affaire à du bon vieux code Microsoft. Bien installé, le malware reste ensuite chargé uniquement en mémoire grâce à des techniques de chargement réflectif, ce qui évite toute écriture sur le disque.
Et une fois lancé, c’est la débandade. Le premier composant, EggStremeFuel, prépare le terrain en collectant des infos sur votre système et ouvre une backdoor via cmd.exe. Puis débarque EggStremeLoader qui va dénicher des payloads chiffrés planqués dans un fichier ielowutil.exe.mui. Ces payloads sont ensuite injectés directement dans des processus système légitimes comme winlogon.exe ou explorer.exe.
Mais le clou du spectacle, c’est EggStremeAgent, le cœur du dispositif. Ce backdoor dispose de 58 commandes différentes qui permettent aux attaquants de faire absolument tout ce qu’ils veulent : reconnaissance réseau, vol de données, captures d’écran, exécution de code arbitraire, et même injection dans le processus LSASS (celui qui gère vos mots de passe Windows).
Et ce n’est pas tout car les développeurs ont ajouté EggStremeKeylogger, un keylogger qui s’injecte dans explorer.exe et enregistre tout à savoir vos frappes clavier, le contenu du presse-papier, les fenêtres actives, même les fichiers que vous copiez-collez. Tout est alors stocké dans un fichier thumbcache.dat chiffré en RC4, histoire de passer inaperçu.
Pour communiquer avec le serveur de commande et contrôle, les pirates utilisent également gRPC avec mTLS. Ils ont même leur propre autorité de certification pour générer des certificats uniques pour chaque machine compromise. Et la configuration de ce beau bébé est stockée dans un fichier Vault.dat chiffré, et chaque victime reçoit un identifiant unique.
Ce qui étonne vraiment les chercheurs, c’est la cohérence de l’ensemble car tous les composants utilisent les mêmes techniques : DLL sideloading, chiffrement RC4/XOR, exécution exclusivement en mémoire. Ça sent la team de développeurs bien rodée avec des process industriels, et pas des amateurs qui bricolent dans leur garage.
Et comme si cela ne suffisait pas, ils ont même prévu un plan B avec EggStremeWizard, un backdoor de secours allégé qui maintient l’accès même si le module principal se fait dégager. Et pour se balader tranquillement dans les réseaux segmentés, ils utilisent également
Stowaway
, un outil proxy écrit en Go qui permet de contourner les restrictions réseau.
Malheureusement, pour contrer de ce genre de saloperies, les antivirus classiques sont complètement largués. Il faut du monitoring comportemental avancé, des solutions EDR/XDR capables de surveiller la mémoire des processus, et surtout bloquer l’usage non autorisé des utilitaires système Windows (les fameux LOLBins). Seules ces solutions plus avancées peuvent détecter les comportements anormaux en mémoire et les techniques d’injection de processus que ce malware utilise.
Bitdefender a publié tous les indicateurs de compromission sur
leur repo GitHub
et si vous bossez dans une organisation sensible en Asie-Pacifique, je vous conseille vivement d’y jeter un œil et de vérifier vos systèmes.
Je pense qu’on a encore affaire ici à une jolie affaire d’espionnage étatique. Faut dire que ces groupes APT chinois développent des outils d’une sophistication toujours aussi hallucinante, et comme d’hab leurs cibles privilégiées sont des organisations militaires et gouvernementales des pays voisins du leur.
Bref, la prochaine fois que Windows vous demande une autorisation pour un truc bizarre, réfléchissez-y à deux fois parce qu’entre un simple WinMail.exe des familles et une infrastructure d’espionnage complète, la frontière est devenue sacrément mince.
APT28 s'appuie sur la porte dérobée NotDoor pour utiliser Microsoft Outlook afin d'exécuter des commandes et exfiltrer des données sur les PC infectés.
L’IA Grok sur X (Twitter) est détournée par des pirates pour propager des liens malveillants, grâce à la technique Grokking. Voici à quoi ressemble ce piège.
Dans une étude parue le 27 août 2025, les chercheurs de Truesec décortiquent le mode opératoire d'une large campagne de vols de données. La porte d'entrée dans les infrastructures victimes ? Un éditeur de PDF promu sur Google Ads puis modifié après coup pour intégrer le logiciel malveillant Tampered Chef.
Je pense qu’on n’est pas encore vraiment prêt pour ces conneries… De quelles conneries je parle ? Et bien par exemple d’un ransomware qui réfléchit, qui s’adapte, et qui génère même ses propres attaques en temps réel ! Oui, Terminator mais sans muscles, et ce n’est plus de la science-fiction, c’est maintenant une réalité.
ESET Research vient en effet de découvrir PromptLock
, le tout premier ransomware alimenté par l’intelligence artificielle et ce qui le rend vraiment unique, c’est qu’il ne suit pas de script prédéfini. Non, non, au lieu de ça, il utilise le modèle gpt-oss-20b d’OpenAI, installé localement sur la machine infectée via l’API Ollama. Du coup, ça permet au ransomware de génèrer ses propres scripts Lua malveillants à la volée, en fonction de ce qu’il trouve sur votre système. Chaque attaque devient ainsi potentiellement unique, ce qui rend la détection par signatures quasi impossible.
La beauté diabolique du truc, c’est que tout fonctionne en local. Donc pas besoin de connexion internet constante, pas de communications suspectes vers des serveurs de commande et contrôle. Le modèle d’IA tourne directement sur votre machine. Cette approche permet ainsi au ransomware d’éviter les détections heuristiques traditionnelles et le tracking d’API.
Les chercheurs d’ESET ont trouvé les artefacts de PromptLock sur VirusTotal le 25 août dernier. Ce ransomware est écrit en Golang et existe pour le moment en versions Windows et Linux et d’après l’analyse du trafic réseau, il envoie des requêtes POST vers un endpoint Ollama local (172.42.0.253:8443). L’adresse Bitcoin présente dans les prompts découverts appartiendrait à Satoshi Nakamoto lui-même. L’enfoiré, je savais qu’il était toujours dans le coin !!! Ouais, non, c’est surtout un gros clin d’œil des développeurs de cette saloperie.
Ce qui inquiète réellement les experts, c’est la simplicité avec laquelle ce ransomware peut être déployé. Plus besoin d’être un expert du mal (et du code) pour lancer une attaque sophistiquée.
Le ransomware utilise l’algorithme de chiffrement SPECK 128-bit et peut potentiellement exfiltrer vos données, les chiffrer, ou même les détruire. Heureusement, cette dernière fonctionnalité ne semble pas encore implémentée. Les scripts Lua générés sont compatibles cross-platform et fonctionnent sur Windows, Linux et macOS. Bref, une vraie plaie universelle.
Pour l’instant, PromptLock semble donc être plutôt un proof of concept plutôt qu’une menace active mais si un simple PoC peut déjà faire ça, imaginez ce que des cybercriminels motivés pourraient développer avec les mêmes techniques.
On s’attend tous à voir dans les années à venir de plus en plus de malwares autonomes capables d’apprendre et de s’adapter en temps réel. Cela veut dire que les défenses devront elles aussi intégrer l’IA pour suivre le rythme. C’est une nouvelle course aux armements technologiques qui s’annonce, avec évidemment nos données personnelles et les données des entreprises comme champ de bataille.
Donc comme d’hab, la meilleure défense c’est la prudence. Ne téléchargez que des fichiers de sources fiables maintenez vos systèmes à jour, et faites des
backups 3-2-1-1-0
.
Aujourd’hui je vais vous parler du casse du siècle les amis ! Entre 2013 et 2018, un groupe de cybercriminels connu sous le nom de Carbanak a réussi à dérober plus de 1,2 milliard de dollars à une centaine de banques dans 40 pays. Du jamais vu dans l’histoire de la cybercriminalité financière !
Et ce groupe Carbanak, c’est pas juste une bande de script kiddies qui ont eu de la chance, non c’est une vrai une organisation criminelle ultra-sophistiquée qui a réinventé le concept même de braquage bancaire. Fini les cagoules et les armes, place aux malwares et au social engineering de haut vol. Ils fonctionnaient même comme une vraie entreprise avec une hiérarchie, des horaires de travail réguliers, et même des bonus pour les opérateurs les plus efficaces !
L’histoire commence donc en 2013 quand les premières banques ukrainiennes et russes remarquent des mouvements d’argent bizarres sur leurs comptes. Des millions de dollars disparaissent sans laisser de traces évidentes. À Kiev, en novembre 2013, c’est même un distributeur qui commence à cracher des billets à des heures complètement aléatoires, sans qu’aucune carte ne soit insérée ! Les passants récupèrent l’argent, pensant d’abord à un bug, jusqu’à ce que les banques comprennent qu’elles sont victimes d’une cyberattaque d’un genre nouveau. C’est là que Kaspersky Lab entre en scène et découvre ce qui deviendra l’une des plus grandes cyberattaques financières de tous les temps.
Le mode opératoire de Carbanak, c’est de l’art. D’abord, ils envoient des emails de spear phishing ultra-ciblés aux employés de banque. Ces emails exploitent des vulnérabilités connues comme CVE-2012-0158 (Microsoft Windows Common Controls), CVE-2013-3906 (Microsoft GDI+) et CVE-2014-1761 pour installer leur backdoor custom. Et une fois dans la place, le malware Carbanak fait son petit bonhomme de chemin dans le réseau bancaire.
La phase de reconnaissance est assez dingue puisque les hackers activent discrètement les webcams et prennent des captures d’écran pour observer les employés de banque pendant des mois. Ils apprennent littéralement comment fonctionne chaque banque de l’intérieur, mémorisant les procédures, les horaires, les protocoles de sécurité. En moyenne, cette phase d’apprentissage dure entre 2 et 4 mois complets ! Du coup, quand ils passent à l’action, ils imitent parfaitement le comportement des vrais employés. Flippant !
Et leurs techniques de vol sont variées et créatives. Parfois, ils programment des distributeurs automatiques pour cracher des billets à une heure précise où un complice attend tranquillement devant. D’autres fois, ils créent des comptes fantômes et y transfèrent des millions via le système SWIFT. Ou alors, ils modifient directement les bases de données pour gonfler artificiellement certains comptes avant de vider l’excédent, tout en laissant le solde original intact pour que le vrai propriétaire ne remarque rien. Chaque banque piratée rapporte entre 2,5 et 10 millions de dollars en moyenne.
Le cerveau présumé de l’opération, c’est Denis Katana (de son vrai nom Denis Tokarenko), un Ukrainien arrêté en mars 2018 à Alicante en Espagne. Et là, attention les yeux, les autorités trouvent sur son laptop 15 000 bitcoins, soit environ 162 millions de dollars à l’époque ! Le bonhomme avait monté tout un système avec des plateformes financières de Gibraltar et du Royaume-Uni pour convertir ses bitcoins en cartes prépayées qu’il utilisait ensuite pour acheter des voitures de luxe, des maisons, et vivre la grande vie en Espagne. Il avait même créé un “énorme réseau” de minage de bitcoins pour blanchir l’argent. Et le détail qui tue c’est que Denis travaillait depuis l’Espagne et trouvait tous ses complices en ligne, mais ils ne se sont jamais rencontrés en personne ! Tout se passait par internet, comme une startup criminelle en full remote.
Car Carbanak, c’est pas qu’un seul mec. Le groupe est étroitement lié à FIN7, aussi connu sous le nom de Navigator Group. En 2018, les autorités arrêtent plusieurs membres clés dans une opération internationale coordonnée : Fedir Hladyr, 33 ans, le sysadmin du groupe arrêté à Dresde en Allemagne, Dmytro Fedorov, 44 ans, le manager supervisant les hackers, arrêté à Bielsko-Biala en Pologne, et Andrii Kolpakov, 30 ans, arrêté à Lepe en Espagne. Chacun fait face à 26 chefs d’accusation incluant conspiration, fraude électronique, piratage informatique et vol d’identité aggravé. Hladyr, considéré comme le cerveau technique derrière Carbanak, a écopé de 10 ans de prison en 2021.
Ce qui impressionne les enquêteurs avec FIN7/Carbanak, c’est leur professionnalisme et leur créativité pour recruter. Ils ont d’abord créé une fausse société de cybersécurité appelée Combi Security, soi-disant basée en Israël et en Russie, pour recruter des développeurs sans qu’ils sachent qu’ils travaillaient pour des criminels. Les employés pensaient développer des outils de tests de pénétration légitimes alors qu’en réalité, ils créaient des malwares pour attaquer des entreprises. Le site web de Combi Security listait même parmi ses “clients” plusieurs de vraies victimes de FIN7 ! Après les arrestations de 2018, ils ont alors remis ça avec une nouvelle fausse boîte appelée Bastion Secure, avec un processus de recrutement en trois phases qui révélait progressivement la nature criminelle du travail. Les candidats passaient des entretiens RH classiques sur Telegram, signaient des contrats avec clause de confidentialité, puis se retrouvaient à faire du “pentest” sur des réseaux qui étaient en fait des vraies cibles à pirater.
L’organisation interne de Carbanak, c’est du grand art criminel. Ils avaient une hiérarchie claire avec des “gestionnaires de flux monétaires” qui analysaient les infos des ordinateurs infectés, des “chefs de mules” qui géraient les réseaux de blanchiment, et même des techniques de pression pour empêcher les membres de partir. Les opérateurs en position de leadership n’hésitaient pas à faire du chantage et à menacer de “blesser les membres de la famille en cas de démission”. Pour l’extraction d’argent, ils collaboraient d’abord avec la mafia russe jusqu’en 2015, puis avec la mafia moldave pour coordonner le travail des “mules” qui récupéraient le cash des distributeurs piratés.
Le malware Carbanak lui-même est une merveille d’ingénierie malveillante puisqu’il combine des capacités de keylogging, de capture d’écran, d’exécution de commandes à distance et de détection d’applications bancaires spécifiques. Il peut rester dormant pendant des mois, collectant silencieusement des informations avant de frapper. Au début, le groupe utilisait du code basé sur le malware Carberp, mais au fil du temps, ils ont développé leur propre solution complètement originale. En 2019, le code source complet de Carbanak est même apparu sur VirusTotal, donnant aux chercheurs en sécurité un aperçu détaillé de son fonctionnement interne et confirmant sa sophistication technique.
Malgré les arrestations de 2018, l’activité du groupe n’a pas cessé immédiatement. Entre mars et juin 2018, plusieurs nouvelles vagues de phishing liées à Carbanak sont observées, ciblant des banques et des entreprises de traitement de paiements dans différents pays. Six mois après l’arrestation de Denis Katana, le groupe était encore très actif selon les experts, prouvant bien la résilience et la structure décentralisée de cette organisation criminelle.
Surtout, l’impact de Carbanak dépasse largement les pertes financières car leurs attaques ont fondamentalement changé la façon dont les banques approchent la cybersécurité. Elle a démontré que les techniques APT (Advanced Persistent Threat), traditionnellement utilisées pour l’espionnage d’État, pouvaient être détournées pour le crime financier pur et simple. Carbanak a marqué le début d’une nouvelle ère où les cybercriminels ne s’attaquent plus aux clients des banques, mais directement aux banques elles-mêmes.
Du coup, les banques ont dû repenser complètement leur sécurité. Plus question de se contenter de pare-feux et d’antivirus. Il faut maintenant des systèmes de détection comportementale, de la surveillance vidéo des postes de travail critiques, des protocoles de validation multi-niveaux pour les transferts importants, et une formation continue des employés contre le phishing. L’attaque a aussi poussé le secteur à mieux sécuriser les liens entre les ATMs et les systèmes centraux.
Carbanak reste donc aujourd’hui l’exemple parfait de ce que peut accomplir un groupe de cybercriminels déterminés et techniquement compétents. Leur approche méthodique, leur patience de plusieurs mois par cible, leur capacité à s’adapter aux défenses de leurs victimes et leur structure d’organisation quasi-corporate en font un cas d’école.
Avec Carbanak, on sait maintenant qu’il est possible de voler un milliard de dollars sans jamais braquer physiquement une seule banque. Juste avec du code, de la patience et une compréhension profonde des systèmes bancaires. Denis Katana et ses complices ont réussi à accéder à “pratiquement toutes les banques de Russie” et à faire des retraits de distributeurs à Madrid pour un demi-million d’euros, tout ça depuis leur laptop. Ça fait réfléchir sur la vulnérabilité de notre système financier mondial face à des attaquants chevronnés.
Les attaquants peuvent être n’importe où, leurs victimes partout, et l’argent volé transite par des dizaines de pays avant de disparaître dans des cryptomonnaies. La coopération internationale devient alors cruciale, comme l’a montré l’opération coordonnée par Europol, le FBI, la police espagnole et les autorités de plusieurs pays qui a permis les arrestations de 2018.
Sans cette heureuse collaboration, Denis Katana serait probablement encore en train de siroter des cocktails sur la Costa del Sol avec ses bitcoins…
Le 27 juin 2017, vers 10h30 du matin, j’étais tranquillement en train de prendre mon café quand j’ai vu les premières alertes sur Twitter.
Des entreprises ukrainiennes signalaient des attaques de malwares massives. Au début, j’ai pensé “encore un ransomware, rien de nouveau sous le soleil” puis au bout de quelques heures, j’ai compris qu’on était face à quelque chose de totalement différent. Ce n’était pas un ransomware. C’était une arme de destruction qui allait coûter plus de 10 milliards de dollars à l’économie mondiale.
Et le plus fou dans tout ça c’est que ce malware ne réclamait que 300 dollars de rançon. Une misère comparée aux dégâts. Mais c’est justement là que résidait le piège : NotPetya n’était pas fait pour gagner de l’argent. Il était fait pour détruire.
Voici donc aujourd’hui l’histoire de la cyberattaque la plus dévastatrice de tous les temps, et comment un serveur situé au Ghana a miraculeusement sauvé l’une des plus grandes entreprises du monde.
Pour comprendre NotPetya, il faut d’abord comprendre le contexte. Et entre nous, c’est pas joli joli. Depuis 2014, l’Ukraine et la Russie sont en conflit. Pas seulement sur le terrain avec l’annexion de la Crimée et la guerre dans le Donbass, mais aussi dans le cyberespace. Les hackers russes, et plus particulièrement un groupe appelé Sandworm (on y reviendra), mènent une guerre d’usure numérique contre l’Ukraine.
En décembre 2015, a lieu la première frappe majeure : BlackEnergy. Ce malware coupe l’électricité à 230 000 Ukrainiens en plein hiver. C’est la première fois dans l’histoire qu’une cyberattaque réussit à éteindre un réseau électrique. Les hackers ont pris le contrôle des systèmes SCADA, ouvert les disjoncteurs à distance, et même effacé les systèmes pour empêcher un redémarrage rapide. Bon gros niveau déjà !
Un an plus tard, en décembre 2016, rebelote. Cette fois avec un malware encore plus sophistiqué : Industroyer (aussi appelé CrashOverride). Une sous-station électrique au nord de Kiev est touchée. L’attaque est plus limitée mais le message est clair : on peut vous plonger dans le noir quand on veut. Et le pire, c’est que d’après les experts qui l’ont étudié, Industroyer était conçu pour détruire physiquement l’équipement électrique, pas juste l’éteindre.
Ces attaques, c’est l’œuvre du groupe Sandworm, aussi connu sous le nom d’APT44. Ces mecs, c’est l’élite du hacking russe, rattachés à l’unité 74455 du GRU, le renseignement militaire. Leur nom vient du roman de science-fiction “Dune” de Frank Herbert car dans le livre, les vers des sables sont des créatures énormes qui vivent sous le désert et peuvent surgir n’importe où pour dévorer leur proie. Exactement comme ce groupe de hackers. Un peu chelou comme référence, mais efficace !
Sandworm, ce ne sont donc pas des script kiddies qui glandouillent dans leur garage. Ces types ont développé certains des malwares les plus sophistiqués jamais vus, ils sont patients, méthodiques, et surtout, ils ont les moyens d’un État derrière eux. Et leur mission numéro 1, c’est de déstabiliser l’Ukraine par tous les moyens numériques possibles. Du coup, ils ne vont pas se gêner.
Mais en 2017, ils vont passer à la vitesse supérieure. Leur nouvelle cible c’est l’économie ukrainienne dans son ensemble et pour ça, ils vont infecter un logiciel que tout le monde utilise déjà. Une sacrée idée !
Voici, voilà M.E.Doc. Si vous faites du business en Ukraine, vous connaissez forcément M.E.Doc. C’est LE logiciel de comptabilité et de déclaration fiscale du pays. Développé par une petite entreprise familiale appelée Linkos Group (anciennement Intellect Service, créée en 1990), il est utilisé par environ 80% des entreprises ukrainiennes. C’est simple, sans M.E.Doc, vous ne pouvez pas payer vos impôts en Ukraine. C’est un peu l’équivalent ukrainien de TurboTax, mais en version obligatoire pour tout le monde.
La société derrière M.E.Doc, c’est l’histoire typique d’une PME qui a réussi. Créée par la famille Linnik, dirigée aujourd’hui par Olesya Linnik qui a repris l’affaire familiale, elle emploie une poignée de développeurs et domine son marché de niche. Le problème c’est que la sécurité informatique, c’est pas vraiment leur priorité. Et ça, ça craint…
M.E.Doc.
…. car les hackers de Sandworm l’ont bien compris. Pourquoi attaquer des milliers d’entreprises individuellement quand on peut toutes les infecter d’un coup via leur point commun ? C’est exactement ce qu’ils vont faire.
Les experts estiment que Sandworm a compromis les serveurs de M.E.Doc dès avril 2017, peut-être même avant. Pendant des semaines, voire des mois, ils ont eu un accès total aux serveurs de mise à jour du logiciel, attendant le bon moment pour frapper.
Et ils vont prendre tout leur temps.
Le 18 mai 2017, premier test… ils distribuent le ransomware XData via une mise à jour M.E.Doc. L’attaque est limitée mais elle fonctionne. Les hackers savent maintenant qu’ils peuvent weaponiser le système de mise à jour. Bref, la voie royale est ouverte.
Mais XData, c’était juste l’échauffement. Pour le plat principal, ils préparent quelque chose de beaucoup plus destructeur. Ils prennent le code de Petya, un ransomware qui existe depuis 2016, et le modifient complètement. Le nouveau malware ressemble à Petya, mais c’est un loup déguisé en mouton. Une sacrée transformation !
Le 27 juin 2017, c’est le jour J. Pourquoi cette date ? Ce n’est pas un hasard car le 28 juin, c’est le Jour de la Constitution en Ukraine, un jour férié. Beaucoup d’entreprises ferment pour un long week-end et les hackers savent que les équipes IT seront réduites, les réactions plus lentes. Du coup, c’est un timing parfait pour foutre encore plus de bordel.
À 10h30 du matin, heure de Kiev, une mise à jour M.E.Doc est poussée. Elle contient NotPetya et en quelques secondes, le malware commence à se répandre. Et là, c’est l’apocalypse numérique qui commence et je n’exagère pas.
NotPetya est une merveille d’ingénierie malveillante. D’abord, il utilise EternalBlue, le même exploit de la NSA qui avait permis à WannaCry de se propager un mois plus tôt. Si votre Windows n’est pas patché avec MS17-010 (et beaucoup ne le sont pas), NotPetya peut alors sauter d’une machine à l’autre sans aucune interaction humaine. Ça se répand automatiquement…
Mais les créateurs de NotPetya ont appris de WannaCry. Ils savent que beaucoup ont maintenant installé le patch MS17-010, alors ils ajoutent une deuxième méthode de propagation encore plus redoutable : Mimikatz. Cet outil extrait les mots de passe depuis la mémoire Windows et une fois qu’il a des identifiants valides, NotPetya utilise PsExec et WMI, des outils d’administration Windows totalement légitimes, pour se propager latéralement. C’est diabolique !
D’ailleurs, le génie maléfique de NotPetya, c’est qu’il se fait passer pour un ransomware. L’écran affiche un message typique : “Vos fichiers ont été chiffrés, payez 300$ en Bitcoin pour récupérer vos données.” et y’a même une adresse email de contact : [email protected]. Tout semble normal pour un ransomware classique. Mais c’est du pipeau total !!
NotPetya ne chiffre pas vraiment vos fichiers de manière récupérable. Il détruit le Master Boot Record (MBR) de votre disque dur, puis chiffre la Master File Table (MFT). En gros, il rend votre ordinateur complètement inutilisable. Même si vous payez, vos données sont perdues pour toujours. C’est pas un ransomware, c’est un wiper déguisé.
Pire encore, le système de paiement est complètement bidon. L’adresse email est rapidement suspendue par Posteo, ce qui fait que même si vous vouliez payer, vous ne pourriez pas. C’est là qu’on comprend que NotPetya n’est pas un ransomware. C’est un destructeur pur et dur, déguisé en ransomware pour tromper son monde.
Mais revenons un peu à l’Ukraine qui est frappée de plein fouet. En quelques minutes, c’est le chaos total. Le métro de Kiev s’arrête, les distributeurs de billets ne fonctionnent plus. L’aéroport de Boryspil, le plus grand du pays, doit passer aux opérations manuelles. Les employés écrivent les informations de vol sur des tableaux blancs. C’est du délire !
Oschadbank, l’une des plus grandes banques d’Ukraine, voit alors son réseau entier s’effondrer en 45 secondes. 45 secondes ! Le temps de prendre une gorgée de café et tout est détruit. Les employés regardent, impuissants, leurs écrans afficher le faux message de rançon. C’est terrifiant.
Les ministères, les médias, les entreprises d’énergie, tout le monde est touché. C’est comme si quelqu’un avait appuyé sur un interrupteur géant et éteint l’infrastructure tech du pays. Les chaînes de télévision passent en mode urgence, diffusant depuis des studios de fortune. Même la centrale de Tchernobyl perd ses systèmes de monitoring des radiations !
Mais NotPetya ne s’arrête pas aux frontières ukrainiennes car le malware se propage via les connexions VPN des multinationales. Ainsi, si votre filiale ukrainienne est infectée et connectée au réseau global, c’est fini. NotPetya déferle sur vos systèmes comme un tsunami numérique.
Et c’est exactement ce qui arrive à Maersk, le géant danois du transport qui a une petite présence en Ukraine. Un tout petit bureau à Odessa avec une poignée d’employés. L’un d’eux a M.E.Doc installé pour gérer la comptabilité locale. Ça représente une seule machine. Un seul point d’entrée. Mais c’est suffisant pour foutre en l’air l’une des plus grandes entreprises au monde.
À Copenhague, au siège de Maersk, les premiers signes apparaissent vers midi. Des employés voient des messages étranges : “Réparation du système de fichiers sur C:”. Puis les ordinateurs commencent à s’éteindre… Un par un, puis par dizaines, puis par centaines. L’infection se propage à la vitesse de la lumière.
Un employé de l’IT raconte : “On a vu l’infection se propager en temps réel sur nos écrans de monitoring. C’était comme regarder un feu de forêt numérique. On essayait de couper les connexions, d’isoler les segments, mais c’était trop rapide. En une heure, tout était foutu
Maersk, c’est pas n’importe quelle entreprise. C’est le plus grand armateur du monde. Ils gèrent 76 ports, plus de 800 navires, et transportent environ 20% du commerce maritime mondial. Quand Maersk s’arrête, c’est une partie significative du commerce mondial qui s’arrête. Rien que ça !
Les terminaux portuaires de Maersk dans le monde entier tombent les uns après les autres. Los Angeles, Rotterdam, Mumbai… Les grues s’arrêtent, les camions font la queue, les conteneurs s’empilent. Un porte-conteneurs arrive en moyenne toutes les 15 minutes dans un port Maersk. Chaque navire transporte 10 000 à 20 000 conteneurs. Faites le calcul… il faut traiter un conteneur toutes les 6 centièmes de seconde. Sans ordinateurs, c’est totalement impossible.
À Rotterdam, le plus grand port d’Europe, les opérateurs regardent, impuissants, leurs écrans devenir noirs. Les systèmes qui dirigent les grues automatisées, qui trackent les conteneurs, qui gèrent les douanes, tout est mort. Des milliers de camions commencent à former des files interminables. C’est le chaos logistique total.
Mais Maersk a un problème encore plus grave. NotPetya n’a pas seulement détruit leurs ordinateurs de bureau. Il a annihilé leur infrastructure IT centrale. Les 150 contrôleurs de domaine Active Directory de Maersk, répartis dans le monde entier, sont tous détruits. Simultanément. Du jamais vu !
Pour les non-techniciens, imaginez Active Directory comme l’annuaire téléphonique géant de l’entreprise. Il gère qui peut se connecter, qui a accès à quoi, comment les ordinateurs se parlent entre eux. Sans Active Directory, votre réseau d’entreprise n’existe plus. C’est comme si on avait détruit tous les panneaux de signalisation, toutes les cartes, tous les GPS d’un pays en même temps.
Le pire c’est que ces contrôleurs de domaine de Maersk étaient configurés pour se synchroniser entre eux. En théorie, c’est une bonne idée car si l’un tombe, les autres prennent le relais. Mais en pratique, ça signifie que quand NotPetya en infecte un, il les infecte tous. La redondance censée protéger l’entreprise devient alors le vecteur de sa destruction.
Et c’est là qu’intervient le miracle du Ghana. Dans le chaos de la reconstruction, les équipes IT de Maersk font l’inventaire des dégâts. 4 000 serveurs détruits. 45 000 PC inutilisables. 150 contrôleurs de domaine annihilés. Ils cherchent désespérément une sauvegarde, n’importe quoi pour reconstruire.
Et puis, quelqu’un mentionne le Ghana. Maersk a des bureaux à Accra, la capitale. Par un coup de chance incroyable, ce bureau avait subi une panne de courant le matin du 27 juin. Le contrôleur de domaine local présent là bas était offline quand NotPetya a frappé. C’est une simple panne d’électricité qui sauve une entreprise de 60 milliards de dollars !
Un employé se souvient : “Quand on a réalisé ce qu’on avait, c’était comme trouver le Saint Graal. Un contrôleur de domaine intact. Le seul sur 150. Notre ticket de retour à la vie.” Franchement, on peut dire qu’ils ont eu du bol !
Mais le serveur est au Ghana, et les données doivent être rappatriées au Royaume-Uni, plus exactement au QG IT de Maersk à Maidenhead. Commence alors une course contre la montre digne d’un film d’action.
Le responsable de Maersk en Afrique de l’Ouest, basé au Ghana, prend personnellement le disque dur du serveur. Mais problème ! Il n’y a pas de vol direct Ghana-Londres. Il doit d’abord voler vers Lagos, au Nigeria et de là, il prend un vol pour Londres, puis un taxi jusqu’à Maidenhead. Une véritable course de relais avec plusieurs centaines de gigaoctets de données critiques dans un bagage à main.
Pendant ce temps, à Maidenhead, c’est l’état de guerre. Maersk a mobilisé des centaines d’employés et fait appel à Deloitte pour la reconstruction. Ils ont commandé des milliers de nouveaux ordinateurs. Les fournisseurs sont en rupture de stock tellement la demande est massive. Apple, Dell, HP… tout le monde mobilise ses stocks.
L’ambiance est surréaliste. Des développeurs dorment sous leur bureau. La cantine est ouverte 24/7. Des équipes entières sont mobilisées juste pour déballer et configurer les nouveaux PC. C’est la plus grande opération de récupération IT de l’histoire. Et on peut dire qu’ils y mettent les moyens !
Alors quand le disque dur du Ghana arrive enfin, c’est l’euphorie !! Les équipes peuvent commencer à reconstruire leur Active Directory. Mais c’est juste le début. Il faut réinstaller 45 000 PC, 4 000 serveurs, reconfigurer des milliers d’applications. Un travail de titan !
Pendant 10 jours, Maersk opère en mode complètement dégradé. Les employés utilisent WhatsApp sur leurs téléphones personnels pour communiquer. Les opérations portuaires se font avec papier et crayon. Des employés en Inde reçoivent des appels de collègues européens qui dictent des commandes par téléphone. C’est du bricolage.
Et dans les ports, c’est un chaos créatif car à certains endroits, on ressort des vieux ordinateurs des années 90 qui ne peuvent pas être infectés par NotPetya. Ailleurs, on installe des versions piratées de Windows sur des machines personnelles. Tout est bon pour faire bouger les conteneurs. C’est la nécessité qui commande !
Le coût pour Maersk ? Entre 250 et 300 millions de dollars. Mais ils ont eu de la chance car sans le serveur du Ghana, ça aurait pu être bien pire. Certains experts estiment qu’une reconstruction complète depuis zéro aurait pris des mois et coûté des milliards. Bref, merci la panne de courant ghanéenne !
Bon, Maersk n’est pas la seule victime de poids. Merck, le géant pharmaceutique américain, est également frappé de plein fouet. NotPetya détruit leurs systèmes de production, de recherche, de vente. Des usines qui produisent des vaccins vitaux doivent s’arrêter. Pas terrible pour la santé publique…
Merck aussi avait une filiale en Ukraine qui utilisait M.E.Doc. Une petite opération locale qui devient la porte d’entrée pour une catastrophe globale. Les dégâts sont estimés à 870 millions de dollars. On n’est pas loin du milliard et Merck doit jeter des lots entiers de vaccins parce que les systèmes de contrôle qualité sont détruits. Impossible de garantir que les vaccins ont été produits selon les normes sans les données informatiques. Des patients dans le monde entier subissent des retards pour leurs traitements. L’impact humain de cette cyberattaque est énorme.
FedEx aussi morfle sévère via sa filiale TNT Express. Les systèmes de TNT sont tellement détruits et certaines données ne seront jamais récupérées. Des colis sont perdus, les clients sont furieux et FedEx annonce 400 millions de dollars de pertes. Ça fait cher le paquet !
Le PDG de FedEx déclare lors d’une conférence : “On pensait que TNT était bien protégée. Ils avaient des sauvegardes, des plans de récupération. Mais NotPetya a tout détruit, y compris les sauvegardes. C’était comme si une bombe nucléaire avait explosé dans nos systèmes.” Ça résume bien la situation…
Mondelez, le fabricant des biscuits Oreo et du chocolat Cadbury, perd également 188 millions. Leurs lignes de production s’arrêtent, les commandes ne peuvent plus être traitées. Dans certaines usines, on revient aux bons de commande papier des années 80. Retour vers le futur, version cauchemar !
Saint-Gobain, le géant français des matériaux de construction, lui aussi encaisse 384 millions de pertes. Leur PDG raconte : “On a dû couper notre réseau mondial en morceaux pour empêcher la propagation. C’était comme amputer des membres pour sauver le corps.” Métaphore pas très joyeuse, un peu gore, mais très parlante.
Au total, les experts estiment les dégâts de NotPetya à plus de 10 milliards de dollars. Dix. Milliards. Pour un malware distribué via un obscur logiciel de comptabilité ukrainien. C’est la démonstration terrifiante de l’interconnexion de notre économie mondiale. Vous connaissez l’effet papillon ? Eh bien là, c’est l’effet tsunami !
Mais alors qui est derrière NotPetya ? Et bien comme je vous le disais, les indices pointent tous vers la Russie. Le timing (juste avant un jour férié ukrainien), la méthode (via un logiciel spécifiquement ukrainien), les victimes (principalement l’Ukraine), tout colle. C’est du travail de pro, avec un petit côté amateur dans les dégâts collatéraux.
En février 2018, les États-Unis et le Royaume-Uni accusent alors officiellement la Russie. Plus précisément, ils pointent du doigt le GRU et notre vieille connaissance, le groupe Sandworm. La même unité 74455 qui avait attaqué le réseau électrique ukrainien. Des incorrigibles récidivistes, ces gens-là !
Et le 19 octobre 2020, le département de Justice américain va plus loin. Il inculpe six officiers du GRU pour NotPetya et d’autres cyberattaques. Parmi eux : Yuriy Andrienko, Sergey Detistov, Pavel Frolov, Anatoliy Kovalev, Artem Ochichenko et Petr Pliskin. Le département d’État offre même 10 millions de dollars de récompense pour des infos sur ces gars.
Ces noms ne vous disent probablement rien, mais pour les experts en cybersécurité, c’est du lourd car ce sont les cerveaux derrière certaines des cyberattaques les plus dévastatrices de la décennie : BlackEnergy, Industroyer, NotPetya, Olympic Destroyer… Une belle collection ! Bien sûr, ils sont en Russie, intouchables, mais au moins, on a des noms sur les visages du chaos.
L’accusation révèle alors des détails fascinants. Les hackers ont utilisé des comptes mail ProtonMail pour coordonner l’attaque. Ils ont loué des serveurs avec des bitcoins volés. Ils ont même fait des erreurs opérationnelles, comme utiliser la même infrastructure pour différentes attaques, ce qui a permis de les relier. Hé oui, personne n’est parfait, même les hackers d’élite !
Mais revenons à M.E.Doc. Après l’attaque, les autorités ukrainiennes débarquent dans les bureaux de Linkos Group et ce qu’ils y trouvent est affligeant. Les serveurs n’ont pas été mis à jour depuis au moins 4 ans et les patches de sécurité sont inexistants. La police ukrainienne est furieuse. Le chef de la cyberpolice, Serhiy Demedyuk, déclare même : “Ils savaient que leur système était compromis mais n’ont rien fait. Si c’est confirmé, il y aura des poursuites.” La négligence de cette petite entreprise familiale a coûté des milliards à l’économie mondiale. Une responsabilité un peu lourde à porter…
Les propriétaires de M.E.Doc, la famille Linnik, sont dans le déni total. Olesya Linnik, la directrice, insiste : “Notre logiciel n’est pas infecté. Nous l’avons vérifié 100 fois.” et même face aux preuves accablantes, ils refusent d’accepter leur responsabilité. Du déni de niveau professionnel !
Sergei Linnik et sa Olesya Linnik
Finalement, sous la pression, ils finissent par admettre que leurs serveurs ont été compromis dès avril 2017, mais le mal est fait et surtout la confiance est brisée. De nombreuses entreprises ukrainiennes cherchent des alternatives, mais c’est compliqué car M.E.Doc est tellement intégré au système fiscal ukrainien qu’il est presque impossible de s’en passer.
Avec. NotPetya, c’est la première fois qu’une cyberattaque cause des dommages collatéraux massifs à l’échelle mondiale. Les Russes visaient l’Ukraine, mais ont touché le monde entier. Totalement incontrôlable surtout que les implications sont énormes. Si un logiciel de comptabilité ukrainien peut paralyser des géants mondiaux, qu’est-ce qui empêche d’autres acteurs de faire pareil ? Combien d’autres M.E.Doc sont en sommeil, attendant d’être exploités ?
Suite à NotPetya, la réponse de l’industrie a été mitigée. Certaines entreprises ont renforcé leur sécurité, segmenté leurs réseaux, amélioré leurs sauvegardes. D’autres ont juste croisé les doigts en espérant ne pas être les prochaines. C’est de l’Autruche-Sec : la tête dans le sable et on verra bien…
L’affaire des assurances est aussi particulièrement intéressante car beaucoup de victimes de NotPetya avaient des cyber-assurances. Mais les assureurs ont invoqué la clause d’exclusion des “actes de guerre” avec comme argument que NotPetya était une attaque d’État, donc pas couverte. Ceux là, ils ne veulent jamais payer et après ils s’étonnent que tout le monde les détestent. Bref…
Merck a dû se battre pendant des années devant les tribunaux et en 2022, ils ont finalement gagné car le juge a estimé que la clause d’exclusion ne s’appliquait pas aux cyberattaques. C’est un précédent majeur qui redéfinit ce qu’est un acte de guerre au 21e siècle. Il fallait y penser ! Et Mondelez a eu moins de chance car leur assureur, Zurich, a refusé de payer en invoquant la même clause. L’affaire est toujours en cours avec des milliards de dollars sont en jeu. À suivre…
Pour l’Ukraine, NotPetya est une blessure qui ne guérit pas facilement. Mais les Ukrainiens sont résilients et ils ont appris de leurs erreurs. Depuis NotPetya, l’Ukraine est devenue un véritable laboratoire de la cyberguerre. Ils ont renforcé leurs défenses, créé de nouvelles unités cyber, développé une expertise unique. Ainsi, quand la Russie a lancé son invasion totale en 2022, l’Ukraine était mieux préparée sur le front numérique.
Sandworm, de son côté, n’a pas chômé. Ils sont derrière la plupart des cyberattaques majeures contre l’Ukraine depuis 2022 : Industroyer2, HermeticWiper, et d’autres joyeusetés, mais ils n’ont jamais réussi à reproduire l’impact de NotPetya. Les défenses se sont améliorées, les entreprises sont plus prudentes. Tout le monde apprend de ses erreurs !
Je pense qu’avec NotPetya, les hackers ont probablement été surpris par leur propre succès. Ils voulaient s’attaquer à l’Ukraine, et pas paralyser Maersk ou Merck… mais une fois lâché, leur bébé était totalement incontrôlable. C’est le problème avec les armes numériques… elles ne s’arrêtent pas à la frontière, surtout que le vent numérique, c’est pas facile à prévoir !
Les experts estiment que NotPetya a infecté plus de 300 000 ordinateurs dans 150 pays et aujourd’hui, ce malware reste une référence dans le monde de la cybersécurité. C’est le “plus jamais ça” de l’industrie. Quoiqu’il en soit, cette histoire du serveur du Ghana reste ma préférée, car dans toute cette sophistication technologique, c’est une simple panne de courant qui a permis de sauver Maersk.
On a construit des systèmes d’une complexité inimaginable, interconnectés à l’échelle planétaire, on pensait les contrôler, mais NotPetya a montré notre vulnérabilité fondamentale. Alors la prochaine fois que vous avez la flemme de faire une mise à jour, n’oubliez pas NotPetya.
Connaissez-vous l’histoire du premier véritable virus mondial de l’ère Internet ? En fait c’est pas juste une histoire de code à la base, mais plutôt celle d’un étudiant philippin de 24 ans complètement fauché qui voulait juste surfer gratos sur le web… pour finir par mettre totalement à genoux le Pentagone, la CIA, le Parlement britannique et 45 millions d’ordinateurs à travers le monde.
Et tout ça avec un simple email qui disait “Je t’aime”.
On est le 4 mai 2000 à minuit, heure de Manille, Onel de Guzman lance son virus ILOVEYOU depuis son petit appartement du quartier de Pandacan. Il referme son ordinateur portable, sort boire des coups avec des potes et se réveille le lendemain avec la gueule de bois du siècle et la police à sa porte. Entre temps, son “bébé” a infecté Ford, AT&T, Microsoft, le Pentagone, et a fait trembler Wall Street. Son serveur censé récupérer les mots de passe volés a même complètement cramé sous l’afflux de données. Son plan génial pour démocratiser Internet est parti en fumée.
Son histoire commence donc dans les années 90. Dans son pays, Internet coûte une fortune, facturé à la minute en dial-up et pour un étudiant de l’AMA Computer College de Makati, comme Onel de Guzman, c’est totalement hors de prix. Le gamin est brillant en programmation mais n’a pas un rond. Il passe ses journées à apprendre le code, mais le soir, impossible de se connecter pour approfondir. Et cette frustration devient une obsession ! L’accès à Internet devrait être un droit, pas un privilège de riches.
Du coup, en février 2000, de Guzman présente sa thèse de fin d’études. Le titre ne fait pas dans la dentelle : “E-mail Password Sender Trojan”. L’objectif est clair comme de l’eau de roche… Il s’agit de créer un programme pour voler les identifiants Internet et permettre aux pauvres de surfer gratos. Dans son mémoire, il écrit carrément : “Le but de ce programme est d’obtenir les mots de passe Windows et de voler et récupérer les comptes Internet de l’ordinateur de la victime.”
La réaction de ses profs est immédiate et sans appel. Dans les marges du document, l’un d’eux gribouille : “Nous ne formons pas des cambrioleurs” et “C’est illégal !”. Sa thèse est rejetée. Même le doyen pète un câble. Comment un étudiant peut-il proposer du vol comme projet de fin d’études ?
Mais de Guzman ne capte pas ces retours car pour lui, partager des mots de passe Internet, c’est comme partager un bouquin ou un CD. Les “victimes” ne perdent rien puisqu’elles peuvent toujours se connecter… C’est juste du partage de ressources, non ? Bref, pour lui, ses profs sont des vieux cons qui ne pigent rien à la révolution numérique. Le mec abandonne alors ses études et rejoint GRAMMERSoft, un groupe underground d’étudiants qui vendent des devoirs tout faits à d’autres étudiants et squattent les labos informatiques de l’AMA College pour développer leurs trucs.
L’équipe de GRAMMERSoft
C’est là que de Guzman commence à coder son virus. Il reprend les idées de sa thèse rejetée et les améliore. Le concept c’est de créer un ver qui se propage par email en exploitant la curiosité humaine. Car franchement, qui pourrait résister à un message qui dit “Je t’aime” ? Le virus utilise Visual Basic Script, un langage simple mais puissant intégré à Windows et même si de Guzman n’est pas un génie du code (son script est même plutôt basique avec environ 300 lignes), il comprend parfaitement la psychologie humaine et les failles de Windows.
Son programme fait plusieurs trucs une fois activé. D’abord, il parcourt le disque dur et écrase certains types de fichiers. Les images JPEG sont remplacées par des copies du virus renommées avec l’extension .vbs. Les fichiers JavaScript, CSS, documents Word et j’en passe, subissent le même sort. Mais curieusement, les MP3 sont juste cachés, pas détruits… peut-être que de Guzman aimait trop la musique pour les bousiller. Le virus s’installe ensuite dans le système avec le nom MSKERNEL32.VBS et modifie la page d’accueil d’Internet Explorer pour télécharger un trojan voleur de mots de passe.
Mais le vrai génie du virus, c’est sa propagation car il s’envoie automatiquement à tous les contacts du carnet d’adresses Outlook de la victime. Le message a ainsi l’air de venir d’un ami ou d’un collègue, ce qui augmente drastiquement les chances qu’il soit ouvert. Le fichier joint s’appelle “LOVE-LETTER-FOR-YOU.TXT.vbs”. Sauf que Windows, dans sa grande sagesse, cache par défaut l’extension .vbs. Les utilisateurs voient alors juste “LOVE-LETTER-FOR-YOU.TXT” et pensent que c’est un simple fichier texte inoffensif.
Dans le code, on trouve des références à “spyder” et “Barok”. Barok est un logiciel de vol de mots de passe populaire dans l’underground philippin et “Spyder” est le pseudo que de Guzman utilise parfois, même si Reonel Ramones, son pote de GRAMMERSoft, l’utilise aussi. Le message dans le code dit : “Barok… e.mail.passwords.sender.Trojan-by spyder”. Les mots de passe volés devaient ensuite être envoyés à des comptes email chez Access Net, un FAI philippin. L’idée de de Guzman c’était de les redistribuer gratuitement à ceux qui pouvaient pas se payer Internet.
Sauf que de Guzman n’a jamais anticipé ce qui allait se passer. Il pensait infecter quelques centaines, peut-être quelques milliers d’ordinateurs aux Philippines. Récupérer assez de mots de passe pour lui et ses potes. Il avait initialement codé une restriction géographique pour limiter le virus à Manille, puis par curiosité, il l’enlève juste avant de lancer son bébé. Grosse erreur.
Le code de ILOVEYOU
Le virus commence alors sa propagation en Asie. Hong Kong se fait toucher en premier, car les bureaux ouvrent tôt là-bas. De là, ça se répand en Chine, au Japon, en Corée du Sud et chaque personne qui ouvre la pièce jointe infecte instantanément tous ses contacts. La croissance est exponentielle, complètement folle et en 10 jours, 45 millions de machines seront touchées.
Quand l’Europe se réveille, c’est déjà l’apocalypse. Les serveurs de messagerie saturent. BMW et Siemens en Allemagne déconnectent leurs systèmes. L’Oréal et BNP Paribas en France sont touchés. La BBC rapporte que le Parlement britannique ferme complètement son système de messagerie. Le virus modifie même la page d’accueil des navigateurs pour télécharger WIN-BUGSFIX.exe, un trojan supplémentaire.
Le virus arrive enfin aux États-Unis alors que la côte Est commence sa journée. À 6h45, les techniciens de Fort Bragg reçoivent des alertes puis le réseau de l’armée américaine avec ses 50 000 utilisateurs est touché. Le Pentagone prend alors une décision radicale à savoir couper complètement son système de messagerie. La CIA fait pareil. Le FBI, la Réserve fédérale… tous déconnectent. Du jamais vu. Ford Motor Company ferme son réseau email. Microsoft, ironie du sort, créateur du système d’exploitation vulnérable, doit aussi se déconnecter. Et Wall Street tremble.
Et les médias s’emballent… CNN, BBC, tous couvrent l’événement en direct. Pour la première fois, un virus informatique fait la une des JT. “Si vous recevez un email avec pour objet ILOVEYOU, ne l’ouvrez pas !” répètent les présentateurs. Les estimations des dégâts commencent à tomber. On parle de millions, puis de milliards. Le coût final sera estimé entre 5 et 15 milliards de dollars, en comptant les pertes de productivité et les fichiers détruits. Plus de 25 variantes du virus apparaissent alors rapidement, chacune causant différents types de dégâts.
Pendant ce temps à Manille, de Guzman cuve sa cuite monumentale. Il n’a aucune idée du chaos mondial qu’il vient de déclencher. C’est sa mère qui l’alerte : la police est à la porte. Les agents du National Bureau of Investigation ont des mandats… De Guzman panique et demande à sa famille de détruire tous ses ordinateurs.
Mais comment les autorités l’ont trouvé si vite ? Et bien Sky Internet, un FAI philippin, a reçu des plaintes de clients européens dès les premières heures. Darwin Bawasanta, un employé, analyse les logs et identifie des numéros de téléphone suspects. L’un mène en premier lieu à l’appartement de Reonel Ramones, arrêté le 8 mai. Là bas, les enquêteurs trouvent des disquettes avec des noms incluant Michael Buen et Onel de Guzman. Buen, 23 ans, avait écrit une thèse acceptée sur la duplication de fichiers. Les enquêteurs soupçonnent alors que ILOVEYOU combine leurs travaux… Puis rapidement, tous les indices pointent vers de Guzman.
Et le 11 mai 2000, de Guzman se présente à une conférence de presse. Lunettes de soleil, visage caché derrière un mouchoir. Il refuse de répondre. Son avocat parle : “Mon client n’avait pas l’intention de causer des dommages. Il voulait seulement démontrer les failles de sécurité.” La défense classique des hackers…
Onel de Guzman durant sa conférence de presse
Mais voilà le plus dingue : il n’y aura aucune poursuite. Pourquoi ? Et bien parce qu’en 2000, les Philippines n’ont aucune loi contre la création de virus informatiques. Écrire un malware n’est tout simplement pas illégal et le procureur est obligé d’abandonner toutes les charges. De Guzman et Ramones sont libérés.
Face au tollé international, le gouvernement philippin vote en urgence la Republic Act No. 8792 en juillet 2000, l’E-Commerce Law qui criminalise enfin les virus mais comme la Constitution interdit les lois rétroactives. Grâce à sa bonne étoile, de Guzman s’en sort totalement libre et après sa conférence de presse, il disparaît. Il devient alors un fantôme… Certains disent qu’il a quitté le pays, d’autres qu’il vit sous une fausse identité.
Jusqu’à ce que Geoff White le retrouve en 2019 pour son livre “Crime Dot Com”. De Guzman a maintenant 44 ans et répare des téléphones pour vivre. “Je ne voulais pas que ça arrive comme ça”, confie-t-il. “Je voulais juste avoir accès à Internet sans payer. Je ne pensais pas que ça deviendrait mondial.” Il lui raconte alors cette fameuse nuit : “J’ai bu, beaucoup bu. Je me suis réveillé avec une gueule de bois terrible et la police à ma porte.”
Le plus drôle c’est que de Guzman n’a jamais pu exploiter son virus car le serveur censé collecter les mots de passe a crashé immédiatement. “Le virus était trop efficace”, explique-t-il. “Il s’est propagé trop vite. Tout s’est effondré.” Des millions de mots de passe envoyés pour rien. ILOVEYOU est devenu un pur agent du chaos, détruisant des fichiers sans remplir sa fonction première.
De Guzman regrette tout cela profondément. “Parfois je vois ma photo sur Internet. Je suis quelqu’un de timide, je ne veux pas de cette attention. Si je pouvais revenir en arrière, je ne le ferais pas. J’étais jeune et stupide. Je pensais changer le monde, démocratiser Internet. J’ai juste causé de la souffrance.”
Onel de Guzman en 2019
L’impact d’ILOVEYOU a été colossal. Microsoft a dû repenser complètement la sécurité d’Outlook et Windows, et l’option de cacher les extensions, qui a permis au virus de tromper tant de gens, a été modifiée. Suite à cela, les entreprises ont investi massivement dans l’antivirus et la formation et le “social engineering” est devenu central dans la cybersécurité. Les gouvernements ont même adopté des lois contre le cybercrime. L’Europe a harmonisé sa législation, les États-Unis ont renforcé le Computer Fraud and Abuse Act.
Mais le plus grand changement est culturel car avant ILOVEYOU, les virus étaient un problème de geeks. Aujourd’hui, “Ne cliquez pas sur les pièces jointes suspectes” est devenu un mantra universel.
En 2012, le Smithsonian Institution a classé ILOVEYOU parmi les dix virus les plus virulents de l’histoire. C’est le seul à avoir touché 10% d’Internet en 24 heures, une performance jamais égalée.
Bref, que ce soit dans le monde numérique comme dans la vraie vie, il faut se méfier des déclarations d’amour un peu trop faciles. Surtout avec une extension .vbs.
Ah Facebook… Vous savez quoi ? J’ai arrêté d’y poster mes news il y a un moment déjà parce que les gens qui prennent encore le temps d’y commenter ne sont pas toujours très “fut-fut” comme on dit. Et manifestement, les escrocs l’ont bien compris parce qu’ils s’en donnent à cœur joie avec leurs nouvelles techniques de malware planqués notamment dans des images.
Le SVG, contrairement au JPEG de tata Ginette, c’est du XML qui peut embarquer du HTML et du JavaScript. Du coup, vous cliquez sur l’image de la fausse célébrité à oualpé, et vous voilà avec un petit Trojan.JS.Likejack qui force votre navigateur à liker des pages Facebook sans que vous vous en rendiez compte.
Le plus drôle dans tout ça c’est que les hackers utilisent une technique appelée “hybrid JSFuck” pour masquer leur code. C’est une forme d’obfuscation qui encode le JavaScript en utilisant seulement six caractères : “[ ] ( ) ! +”. Du grand art pour piéger les grands naïfs qui traînent encore sur la plateforme de Zuckerberg.
Mais attendez, ça devient encore mieux puisqu’une étude d’Harvard révèle que les escrocs utilisent l’IA générative pour créer de fausses images… et ça cartonne énormément sur Facebook. Je vous parle quand même de centaines de millions d’engagements. Par exemple, avec une seule image générée par IA, un escroc a récolté 40 millions de vues. QUARANTE MILLIONS SUR UNE FAUSSE IMAGE !!! Et le pire c’est que la plupart des utilisateurs ne se rendent même pas compte que ces images sont bidons.
Les commentaires sous ce genre de posts sont également à mourir de rire. Des gens félicitent des enfants générés par IA pour leurs peintures générées par IA. D’autres envoient leurs infos personnelles à des comptes d’arnaqueurs pour acheter des produits qui n’existent pas. C’est beau la crédulité humaine, vraiment.
Et devinez qui tombe le plus dans le panneau ?
Les utilisateurs plus âgés, évidemment. Ceux qui tapent encore “www” avant chaque URL et qui pensent que le bouton “J’aime” est une forme de cyber-politesse.
D’ailleurs, en parlant d’arnaque sophistiquée, il y a aussi cette campagne de fausses pubs Facebook pour Kling AI qui distribue un RAT (Remote Access Trojan) appelé PureHVNC. Les victimes cliquent sur une pub pour un outil d’IA, et hop, les hackers ont accès complet à leur système et peuvent voler leurs identifiants et leurs cryptos. Et toute cette merde est amplifiée par l’algorithme de Facebook lui-même.
Car oui, la plateforme recommande activement ces contenus bidons parce qu’ils génèrent de l’engagement. L’algorithme voit des clics, des likes, des commentaires de gens crédules, et amplifie automatiquement ce contenu. C’est le cercle vicieux parfait où la stupidité nourrit l’arnaque qui nourrit l’algorithme qui nourrit la stupidité…etc.
Concernant ces images SVG vérolées, les sites malveillants sur lesquels tombent les victimes sont souvent hébergés sur Blogspot / WordPress. Ils promettent ainsi des photos explicites de stars (générées par IA bien sûr) et utilisent ces appâts pour installer leurs saloperies de malware. Et comme Edge sous Windows ouvre automatiquement les fichiers SVG, même si vous avez un autre navigateur par défaut, c’est super pratique pour les hackers… et moins pour les victimes.
Donc, si vous êtes encore sur Facebook en 2025 et que vous cliquez sur des images de célébrités à poil ou des posts d’enfants miraculeux qui peignent des chefs-d’œuvre, vous méritez presque ce qui vous arrive. C’est devenu un repaire d’escrocs qui exploitent la naïveté des derniers utilisateurs encore actifs. Entre les boomers qui partagent des fake news et les arnaqueurs qui déploient des malwares sophistiqués, Facebook c’est vraiment devenu le fond de poubelle d’Internet.
Donc mon conseil c’est que si vous tenez absolument à rester sur cette plateforme moribonde, apprenez au moins à reconnaître une image générée par IA, à travailler votre esprit critique et méfiez-vous des fichiers SVG comme de la peste. Et surtout, arrêtez de cliquer sur tout ce qui brille et de croire tout ce qui y est écrit. Internet, ce n’est pas un sapin de Noël magique.
En septembre 2024, le Threat Labs de Netskope a publié un rapport sur le malware XWorm et sa chaîne d’infection, dévoilant alors de nouvelles instructions de commande et de contrôle (C2) et analysant ses fonctionnalités notables. Communiqué – Après près d’un an de suivi de ce malware, les chercheurs de Netskope ont découvert une nouvelle version (version […]
Dans une étude, parue le 8 juillet 2025, les chercheurs de Koi Security révèlent que 18 extensions Chrome, disponibles sur Google Chrome et Microsoft Edge étaient des chevaux de Troie. Dans cette liste figure notamment le sélecteur de couleur Geco, qui comptait plus de 100 000 utilisateurs.
L'IA générative s'invite une nouvelle fois dans les arrières-boutiques du cybercrime, où elle révolutionne la manière dont les attaques sont conçues et déployées. Le phénomène WormGPT, déjà inquiétant en 2023, connaît aujourd’hui une seconde jeunesse grâce à deux modèles de pointe : Grok, développé par la société xAI d’Elon Musk, et Mixtral, produit par la startup française Mistral AI.
La presse mondiale s’est enflammée, le 19 juin 2025 : « 16 milliards de mots de passe en fuite ! » Apple, Google, Facebook, tous concernés. Les titres alarmistes se sont multipliés, évoquant la « plus grande fuite de l'Histoire » et appelant à la vigilance extrême. Mais que s’est-il vraiment passé ? Numerama a interrogé deux experts en cybersécurité pour démêler le vrai du faux et comprendre comment réagir face à ce type d’annonce.
Connexion
