NotPetya : Première guerre sur front secret

NotPetya, survenu le 27 juin 2017, est une cyberattaque par ransomware déguisée en simple rançongiciel mais conçue comme une arme de destruction massive. Initialement propagée via une mise à jour compromise du logiciel ukrainien M.E.Doc, elle a rapidement infecté des entreprises et infrastructures critiques dans le monde entier, causant des dommages estimés à 10 milliards de dollars. Contrairement à un rançongiciel classique, NotPetya ne permettait pas la récupération des données, soulignant son but primordial de sabotage plutôt que de profit pécuniaire.

Quelle est la vulnérabilité exploitée ?

NotPetya exploitait d’abord la faille EternalBlue (CVE-2017-0144) dans le protocole SMBv1 de Windows, déjà utilisée par WannaCry. En parallèle, il abusait de la fonctionnalité de mise à jour automatique de M.E.Doc pour déployer le malware SUNSHUTTLE (« NotPetya »), contournant ainsi toute authentification et sécurité standard.

Comment l’attaque s’est-elle déroulée ?

  1. Compromission de M.E.Doc (juin 2017)
    Les attaquants ont infiltré les serveurs de mise à jour de M.E.Doc et y ont inséré NotPetya, déguisé en patch légitime.
  2. Déclenchement global (27 juin 2017)
    Dès que la mise à jour malveillante a été distribuée, SUNSHUTTLE s’est installé sur les machines clientes.
  3. Propagation interne
    Le malware utilisait EternalBlue pour se déplacer latéralement sur le réseau, complété par la technique WMI et des partages réseau Windows.
  4. Destruction irréversible
    Une fois activé, NotPetya chiffrait la MFT (Master File Table) du disque, rendant toute restauration impossible, puis affichait une fausse demande de rançon sans mécanisme de déchiffrement.

Qui a été touché ?

  • Ukraine : banques, centrales nucléaires, opérateurs télécoms, aéroports, entreprises de logistique.
  • Monde : Maersk (transport maritime), Merck (pharmaceutique), Mondelez (agroalimentaire), FedEx, BASF, Saint-Gobain, et des dizaines de PME aux chaînes de production automatisées.

Quels ont été les impacts ?

  • Opérationnel : arrêt complet des usines, coupures d’email, indisponibilité des systèmes de contrôle industriel.
  • Financier : pertes estimées à 10 milliards $ globalement, incluant 1,2 milliard $ de chiffre d’affaires perdu pour certaines entreprises.
  • Assurance : litiges majeurs avec les assureurs, refus de couverture pour acte de guerre, redéfinition des polices cyber.

Coût estimé selon la taille d’entreprise

TailleCoût moyen estimé
Petite250 000 $ – 750 000 $ (restauration de données, réinstallation des systèmes)
Moyenne2 M $ – 5 M $ (forensique, interruption d’activité prolongée, pénalités RGPD)
Grande10 M $ – 50 M $ (perte de chaîne d’approvisionnement, sanctions, image)

Comment s’en protéger ?

  • Application immédiate des correctifs : EternalBlue (MS17-010) et mises à jour de tous les serveurs Windows.
  • Inventaire et contrôle des dépendances : SBOM pour tout logiciel tiers, notamment M.E.Doc.
  • Segmentation stricte : limiter les communications SMB entre postes et serveurs.
  • Surveillance comportementale : alertes sur créations massives de processus chiffrant des disques et accès atypiques WMI.
  • Backups hors ligne et PRA/PCA : jeux de sauvegardes immuables, isolés du réseau.

Pourquoi est-ce difficile à éviter ?

  • Chaîne d’approvisionnement opaque : dépendances logicielles mal identifiées, mises à jour automatiques de confiance.
  • Systèmes legacy : environnements critiques toujours sous Windows non supportés.
  • Diffusion rapide : combinaison d’exploits réseau et de techniques natives Windows rend l’attaque quasi instantanée.
  • Dimension « acte de guerre » : peu d’outils de riposte ou de couverture par les assurances.

Dans le contexte de votre entreprise, que feriez-vous ?

  1. Audit SBOM et dépendances
    Identifier tous les composants tiers, isoler et tester chaque flux de mise à jour.
  2. Pipeline CI/CD renforcé
    Sandbox et validation cryptographique des artefacts avant déploiement.
  3. Micro-segmentation & zero-trust
    Restreindre les droits SMB/WMI et appliquer le principe du moindre privilège.
  4. SOC 24/7 & threat hunting
    Cas d’usage dédiés à l’EternalBlue, WMI abusif et MFT tampering.
  5. Exercices de résilience
    War-games sur scénario supply-chain et tests réguliers du PRA/PCA.

Sources

  1. CISA – Petya Ransomware (NotPetya)
  2. Tripwire – NotPetya: Timeline of a Ransomworm
  3. Cybereason – NotPetya’s Fiscal Impact Revised: $892.5M
  4. Cloudflare – What are Petya and NotPetya?
  5. Wired – The Untold Story of NotPetya
  6. Cybereason – NotPetya: A Quick Recap
  7. Claroty – NotPetya Looking Back Three Years Later
  8. Wikipedia – 2017 Ukraine Ransomware Attacks
  9. Hypr – What is NotPetya? 5 Fast Facts
  10. Brookings – How NotPetya Is Reshaping Cyber Insurance
  11. Armis – Reflecting on NotPetya
  12. ProvenData – NotPetya Ransomware: How to Protect Your Organization

Tubercule

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *