La nouvelle circule parmi les initiés depuis des jours. Non-dits, dits à demi-voix, surtout contenus et développés dans tous les approfondissements possibles de la concentration opérationnelle des responsables de la sécurité publique et privée : informatique, corporate, nationale. La menace s’appelle l’essuie-glace hermétique. Un malware, pour le profane un « programme malveillant ». Avec une caractéristique terrifiante : lorsqu’il est en action, il détruit toutes les données. Il ne les vole pas, il ne les vole pas, il n’y a pas de chantage ni de demande de rançon. S’il y parvient, il efface toutes les informations du système. Elle l’a déjà fait en Ukraine avec des entités et des institutions.
Alertes de l’agence
On en parle sur les sites et blogs spécialisés depuis plusieurs jours. Les tonalités sont uniques, cela ne fait aucun doute : Hermetic Wiper est très, très dangereux. Sans être aussi explicite, l’agence nationale de cybersécurité a cependant, en un peu plus d’une semaine, envoyé cinq avertissements publics distincts concernant ce malware. Le premier le 24 février, le dernier le 7 mars. Titre : « Ukraine : nouvelles IoC importantes et urgentes publiées ». Les Iocs (indicateur de compromission), indicateurs de compromission, sont des références précieuses, des signaux indispensables pour comprendre, intercepter et gérer une attaque. La capacité de prévention et de défense est cruciale. Dans ce cas, cela devient stratégique.
La menace de l’action de l’État
Hermetic Wiper fait donc peur, donc, deux fois. Pour la caractéristique destructrice du piratage. Et, surtout, parce qu’il ne peut s’agir d’une action criminelle d’un individu ou d’un groupe, mais d’une activité hostile d’un État. Peut-être opéré en secret, par l’intermédiaire d’individus délégués à l’aspect opérationnel. C’est le même rapport annuel récent du Dis (service de l’information et de la sécurité) pour témoigner que le nombre de cas d' »acteurs étatiques » responsables de cyberattaques est « en augmentation ». Les initiés disent : une telle attaque peut venir de n’importe où.
Échange de données avec les autorités internationales
Services d’information et de sécurité (Dis, Aisi et Aise); l’Acn ; les ministères de la défense avec le Cor (commandement des opérations du réseau) et de l’intérieur avec la police des télécommunications échangent chaque jour, voire chaque heure, des informations et rapports non seulement nationaux mais aussi internationaux, partagés avec les autorités respectives. Par exemple, la confrontation de la police postale avec des collègues d’Interpol, d’Europol et du Fbi est quotidienne. Tout comme il y a un échange permanent avec les responsables de la sécurité des infrastructures critiques et des services essentiels. Une attaque Hermetic Wiper dans un tel contexte serait dévastatrice. Un cauchemar, ne pas dormir la nuit.
« Une vraie arme » emballée et secrète
Massimo Grandesso, gérant d’Innovery (multinationale italienne spécialisée dans la cybersécurité) observe : « Nous parlons d’une véritable arme. Ce logiciel malveillant a été utilisé au début de la guerre et a compromis les réseaux locaux ukrainiens. Le fait singulier – observe Grandesso – selon certains analystes d’Eset, société internationale leader dans la production de logiciels, c’est que le code du virus avait déjà été écrit en avril 2021. Puis il y a une seconde trace en décembre ». Mais, ajoute le responsable d’Innovery, « avant l’attaque russe, il n’y avait jamais eu de nouvelles concernant l’utilisation de ce rançongiciel dans d’autres contextes. Certes, ce type de ransomware est extrêmement menaçant : il efface de manière irréversible toutes les données concernées et cause de très graves dommages aux infrastructures concernées ».