15 mars 2016 / 13:48 / dans 2 ans

Des pirates chinois seraient à l'origine d'attaques par "rançon"

(Reuters) - Des pirates utilisant des méthodes et des outils précédemment associés à des tentatives d‘intrusion informatique avec l‘assentiment de Pékin se sont reconvertis dans les logiciels de rançon, lesquels ont le vent en poupe, ont indiqué à Reuters quatre sociétés de sécurité enquêtant sur des attaques récemment subies par des entreprises américaines.

Des experts, qui enquêtent sur des attaques récemment subies par des entreprises américaines, estiment que des pirates utilisant des méthodes et des outils précédemment associés à des tentatives d'intrusion informatique avec l'assentiment de Pékin se sont reconvertis dans les logiciels de rançon. /Photo d'archives/REUTERS/Kacper Pempel

Ces attaques menées depuis le mois de décembre n‘ont fait l‘objet d‘aucune communication et aucune des sociétés victimes n‘a accepté d‘être publiquement identifiée.

Une attaque par “rançongiciel” (ransomware en anglais) s‘exécute par le biais d‘un logiciel malveillant installé à l‘insu de l‘utilisateur, qui crypte les données ce dernier et demande à sa victime de payer, généralement en bitcoins, pour rendre les données à nouveau lisibles ou débloquer certaines fonctionnalités de l‘ordinateur.

Les dirigeants des entreprises de sécurité informatique interrogés par Reuters disent avoir relevé au cours des trois derniers mois un grand niveau de complexité sur au moins une demi-douzaine de dossiers présentant des similitudes avec des cyberattaques parrainées par des Etats.

Les entreprises de sécurité informatique ont également relevé des ressemblances au niveau des techniques d‘intrusion, des mouvements pour accéder d‘un système à l‘autre et du logiciel exploité pour superviser les attaques.

“C‘est évidemment un groupe chevronné de pirates ayant une certaine expérience qui a mené ces intrusions”, estime Phil Burdette, responsable d‘une équipe chargée d‘apporter une réponse à ces attaques chez Dell SecureWorks.

Il ajoute que son équipe a été sollicitée dans trois dossiers au cours des trois derniers mois dans lesquels des pirates avaient exploité des failles bien connues dans des serveurs d‘applications pour y dissimuler des rançongiciels.

En contaminant ces serveurs, les pirates ont pu s‘en prendre à une centaine d‘ordinateurs dans les entreprises visées en y installant un programme malveillant.

30% DE MACHINES INFECTÉES

Parmi les victimes figurent une entreprise de transport et une autre spécialisée dans les nouvelles technologies qui ont vu 30% de leurs machines infectées.

Les entreprises de sécurité Attack Research, InGuardians et G-C Partners ont dit avoir également enquêté sur trois dossiers similaires depuis décembre après une attaque par rançongiciel.

Pour les spécialistes de la sécurité, ce genre d‘attaque sophistiquée pourrait être l‘oeuvre d‘un groupe de hackers chinois, a dit à Reuters Val Smith, directeur général d‘Attack Research.

Interrogé sur ces allégations, le ministère chinois des Affaires étrangères a déclaré mardi que si le dossier était sérieux et contenait des preuves irréfutables, la Chine prendrait au sérieux l‘affaire.

Le porte-parole du ministère Lu Kang a cependant ajouté que la Chine n‘avait pas le temps de se pencher sur les “rumeurs et spéculations” relatives aux activités en ligne du pays.

Les entreprises de sécurité enquêtant sur ces intrusions ont avancé différentes théories sur le groupe derrière ces attaques sans toutefois apporter de preuves formelles ni de conclusions définitives.

Pour certains, le gouvernement chinois ne soutient plus autant l‘espionnage économique depuis la conclusion d‘un accord passé l‘an dernier avec les Etats-Unis. Cela a peut-être amené certains pirates, appuyés auparavant par Pékin, à chercher d‘autres sources de revenus, notamment avec les logiciels de rançon, pense Val Smith, d‘Attack Research.

Selon Phil Burdette, de Dell SecureWorks, il est également possible que les entreprises qui avaient été piratées par le passé aient été laissées en paix depuis cet accord. Dans l‘un des dossiers traités par Dell, le logiciel de rançon avait été installé en 2013.

D‘après Dell, des sociétés de sécurité informatique ont trouvé un lien entre certains logiciels malveillants et le groupe de pirates Codoso, connu pour avoir attaqué des intérêts américains ou des sites où se rencontrent les minorités chinoises.

Toutefois, les experts en cybersécurité n‘excluent pas complètement l‘hypothèse que des truands ordinaires aient amélioré leurs compétences et acheté des outils informatiques précédemment employés par les seuls Etats.

Claude Chendjou pour le service français, édité par Wilfrid Exbrayat

0 : 0
  • narrow-browser-and-phone
  • medium-browser-and-portrait-tablet
  • landscape-tablet
  • medium-wide-browser
  • wide-browser-and-larger
  • medium-browser-and-landscape-tablet
  • medium-wide-browser-and-larger
  • above-phone
  • portrait-tablet-and-above
  • above-portrait-tablet
  • landscape-tablet-and-above
  • landscape-tablet-and-medium-wide-browser
  • portrait-tablet-and-below
  • landscape-tablet-and-below