La cyberpolice ukrainienne a saisi les serveurs de M.E Doc, logiciel considéré comme le ” patient zéro ” de la cyberattaque ayant paralysé de nombreuses entreprises la semaine dernière. Les hackers disposeraient d’un accès à leurs systèmes depuis plusieurs mois déjà grâce à une porte dérobée dans une mise à jour logicielle.
Le programme comptable M.E. Doc est soupçonné d’être à l’origine de l’attaque (Not)Petya ayant paralysé de nombreuses entreprises la semaine dernière. Le logiciel, utilisé par quatre-vingts pour cent des sociétés ukrainiennes, permet à ses 400 000 clients de partager des documents financiers entre eux. D’après la cyberpolice ukrainienne, l’entreprise auteure du logiciel comptable pourrait à présent être accusée de négligence.
Les collaborateurs de M.E. Doc avaient, en effet, été avertis à plusieurs reprises d’une faille au niveau de la sécurité. “Ils le savaient”, a déclaré le colonel Serhiy Demydiuk, responsable de la cyberpolice ukrainienne, à l’agence de presse AP. “Différentes sociétés d’antivirus les en avaient informés. Nous établirons un procès-verbal pour cette négligence.” D’après Serhiy Demydiuk, la cyberattaque de la semaine dernière s’est principalement diffusée par le biais de la mise à jour logicielle infectée du programme. Cette allégation a entre-temps été confirmée par Microsoft, Bitdefender, Kaspersky, Cisco et ESET.
Une porte dérobée
Des chercheurs de la société de sécurisation slovaque ESET ont ainsi trouvé une porte dérobée dans au moins trois mises à jour logicielles de M.E. Doc, ce qui a permis aux hackers de s’infiltrer en toute discrétion. Selon ESET, les hackers avaient peut-être déjà accès au code source de M.E. Doc depuis le début de l’année, ce qui leur aurait permis de préparer tranquillement leur attaque. La société de cybersécurité ISSP affirme qu’en avril, une mise à jour infectée aurait entraîné le téléchargement sur Internet de 350 mégaoctets de données depuis une source inconnue.
L’entreprise elle-même a déjà fourni plusieurs visions divergentes quant à son rôle dans l’attaque. Elle a ainsi déclaré avoir été hackée dans une communication sur son site Internet, qui a ensuite été retirée. L’entreprise déclare à présent collaborer avec le FBI, Europol et la NCA britannique dans le cadre des enquêtes sur l’attaque. Les serveurs ont été saisis.
Une deuxième attaque
L’Ukraine déclare entre-temps qu’il y a eu, mardi, une nouvelle attaque au moyen du ransomware Petya, mais que celle-ci a pu être endiguée avant que d’importants dommages puissent être causés. Cette deuxième attaque aurait également été perpétrée via une mise à jour infectée du programme comptable. Ce dernier a été bloqué. “L’attaque a été arrêtée”, a écrit le ministre ukrainien des Affaires étrangères Arsen Avakov mercredi sur Facebook. D’après lui, la Russie se cache derrière les deux attaques.
Le site Internet Bleepingcomputer affirme que trois campagnes ransomware ont été lancées et diffusées par les serveurs M.E. Doc : NotPetya, une attaque réalisée avec le ransomware XData et une troisième avec un clone du logiciel WannaCry, qui avait déjà fait le tour du monde le mois dernier. Chacune de ces attaques a été conçue pour causer des dommages en Ukraine (et uniquement dans ce pays). Ainsi, un rapport d’ESET indique, par exemple, que le logiciel recherche le numéro EDRPOU sur les serveurs (c’est-à-dire le numéro d’entreprise ukrainien), afin d’identifier les entreprises au sein desquelles le logiciel s’est introduit.
La déclaration fiscale reportée
Le gouvernement ukrainien a introduit une proposition de loi visant à reporter au 15 juillet la date d’introduction de la déclaration fiscale. Aucune amende ne sera toutefois infligée aux entreprises qui ne peuvent la respecter parce qu’elles sont encore touchées par l’attaque.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici