Après la vague de cyberattaques survenues le 12 mai dernier grâce à la diffusion du virus WannaCry, plusieurs experts du secteur informatique ont émis l'hypothèse d'une origine nord-coréenne de ce programme de piratage.
Dans la soirée du 15 mai, Neel Mehta, informaticien chez Google, a publié sur Twitter plusieurs lignes de code extraites du virus WannaCry.
A priori indéchiffrable pour les non-initiés, le message de l'expert en cybersécurité a immédiatement attiré l'attention de plusieurs spécialistes du domaine. Ceux-ci ont en effet souligné les très fortes similitudes entre ces lignes de code et celles employées par différents logiciels malveillants lors d'attaques conduites précédemment par un groupe de hackers appelé Lazarus et suspecté d'être basé en Corée du Nord.
Le rapprochement entre le virus WannaCry et le groupe Lazarus a été établi par les sociétés de cybersécurité Kaspersky, Symantec ou encore Comae Technologies. «Ce groupe a été très actif depuis 2011 : Lazarus est une usine à virus qui produit de nouveaux échantillons grâce à une multitude de fournisseurs indépendants», explique un responsable de Kaspersky dans un message publié sur son blog.
Le groupe Lazarus s'était rendu célèbre en 2014 en perpétrant une attaque informatique contre les ordinateurs du groupe Sony Pictures après la production d'un film tournant en dérision Kim Jong-un, nouveau dirigeant de la Corée du Nord. Ces pirates sont également suspectés d'avoir attaqué le réseau de la Banque centrale du Bangladesh ainsi que d'autres acteurs du système financier international.
Si Kaspersky affirme que «la découverte de Neel Mehta est l'indice le plus significatif pour le moment concernant les origines de WannaCry», l'entreprise précise néanmoins que la prudence est de mise. En effet, la similitude ne suffit pas à prouver une implication directe du groupe en question, et encore moins de la Corée du Nord. «Pour le moment davantage de recherches sont nécessaires dans les versions plus anciennes de WannaCry», conclut la société russe Kaspersky. Europol annonce de son côté qu'il est «trop tôt» pour spéculer sur les auteurs de la cyberattaque.
De la Russie à l'Espagne et du Mexique au Vietnam, des dizaines de milliers d'ordinateurs ont été infectés depuis le 12 mai par un logiciel de rançon exploitant une faille dans les systèmes Windows, divulguée dans les documents dérobés à la NSA. Le logiciel malveillant de type «rançongiciel», surnommé «WannaCry», verrouille les fichiers des utilisateurs et force ces derniers à payer une somme d'argent sous forme de monnaie virtuelle bitcoin, difficile à tracer, pour en recouvrer l'usage.