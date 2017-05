Alors que le ransomware WannaCry a été ralenti grâce à un expert en sécurité britannique sans toutefois que le risque n’ait totalement disparu, on commence à en savoir plus sur les origines de l’attaque. Il semblerait en effet que le logiciel malveillant soit lié au régime nord-coréen.

>>> WCry : on vous dit tout sur la cyberattaque de ce week-end

Durant le week-end dernier, le virus WannaCry, également connu sous le nom de WCry, ou WannaCrypt, a touché environ 200 000 ordinateurs sous Windows à travers le monde, bloquant l’accès aux fichiers et demandant une rançon de 300 dollars par postes infectés. Si l’essentiel des ordinateurs touchés était des postes d’entreprises ou d’organismes publics, comme les usines Renault en France ou l’administration hospitalière en Grande-Bretagne, et que la menace a été ralentie grâce aux agissements d’un Britannique de 22 ans, on ignorait encore jusque-là la provenance de l’attaque.

Ce jeudi, un chercheur en sécurité de Google, Neel Mehta, a publié sur Twitter plusieurs séries de caractères faisant référence au code source du virus. Il a ainsi aidé d’autres chercheurs à retrouver l’origine de WannaCry, comme l’indique le magazine Wired : « Une première version de WannaCry, qui est apparue en février, partageait du code avec un programme de backdoor connu sous le nom de Contopee. Celui-ci était utilisé par un groupe baptisé Lazarus, une organisation de pirates dont on pense de plus en plus qu’elle opère sous le contrôle du gouvernement nord-coréen ». Cette portion du code source partagée par WannaCrypt et Contopee étant inédite, cela a poussé de nombreux chercheurs en sécurité informatique à croire que Lazarus, serait également à l’origine de WannaCry. Il se peut cependant que les pirates derrière WCry aient volontairement repris cette partie du code dans le seul but de brouiller les pistes. Cependant, si elle était présente dans les premières versions du virus, ce code a disparu des dernières itérations comme le souligne l’éditeur Kaspersky : « Nous pensons que cette théorie de brouillage des pistes, bien que possible, est peu probable ».

Le groupe Lazarus, qui pourrait être lié à la Corée du Nord, est notamment connu pour avoir piraté les serveurs de Sony Pictures en 2014. À l’époque, la Corée du Nord avait agi contre le studio américain suite à la sortie du film The Interview, décrivant l’assassinat de Kim Jong-Un par des agents américains. Quatre films avaient ainsi été piochés sur les serveurs du studio afin de les rendre disponibles en téléchargement illégal, mais également des adresses email, des mots de passe ou des données financières du géant du film.