Guerre en Ukraine : Hermetic Wiper, un redoutable virus informatique aurait été détecté en France, après s'être attaqué aux administrations ukrainiennes

Hermetic Wiper fait partie des trois virus détectés par Microsoft au cours des dernières semaines en Ukraine. Un virus dormant aussi repéré en France sous la forme de plusieurs variants.

L'essentiel du jour : notre sélection exclusive
Chaque jour, notre rédaction vous réserve le meilleur de l'info régionale. Une sélection rien que pour vous, pour rester en lien avec vos régions.
France Télévisions utilise votre adresse e-mail afin de vous envoyer la newsletter "L'essentiel du jour : notre sélection exclusive". Vous pouvez vous désinscrire à tout moment via le lien en bas de cette newsletter. Notre politique de confidentialité

Microsoft a annoncé lundi 21 février 2022 avoir détecté des logiciels malveillants destructeurs en Ukraine quelques heures avant l'invasion militaire russe. Il n'est pas le seul. Plusieurs sociétés internationales de cybersécurité, comme Eset, ont détecté, au moment de l'offensive terrestre de la Russie, des attaques sur des systèmes informatiques ukrainiens au moyen de "wipers", des logiciels malveillants capable d'effacer toutes les données d'un système dans un but purement destructeur.

Il s'agit d'un virus dormant avec de nombreux variants qui le rendent difficile à détecter par des systèmes classiques de sécurité. Ce matin encore, on a découvert quatre variants

Régis Lhoste, président de Cyber-detect

"Hermetic Wiper est le plus redoutable des virus qui ont attaqué les systèmes informatiques ukrainiens" nous explique Régis Lhoste, président de Cyber-detect à Nancy (Meurthe-et-Moselle). Il ajoute : "Il s'agit d'un virus dormant avec de nombreux variants qui le rendent difficile à détecter par des systèmes classiques de sécurité. Ce matin encore, on a découvert quatre variants". Cyber-detect est spécialisé dans l'analyse morphologique des virus informatiques. Sur son compte Twitter, la société a diffusé une animation 3D de la morphologie du virus.

Hermetic Wiper détecté en France

"Il y a eu des alertes ces derniers jours. Des programmes malveillants type Wiper ont été détectés dans les systèmes de plusieurs organismes en France", nous confirme une source proche du dossier.

Un virus dormant redoutable, créé le 28 décembre 2021

Pour Régis Lohst, président de Cyber-detect : "Un "wiperva rentrer par une faille de sécurité et s'installer dans un système. C'est un virus dormant. Sur les attaques subies par l'Ukraine, on s'est rendu compte que le wiper était en place depuis plusieurs semaines. Le principe d'un wiper est de tout écraser. Il supprime tout ce qui est présent sur le disque dur. L'objectif est clairement de paralyser les systèmes d'information en effaçant toutes les données". Régis Lhoste peut aussi nous donner sa date de création, 28 décembre 2021. Elle est inscrite dans son code source. En revanche, impossible de dire qui est le créateur.

Grâce à l’analyse morphologique, nous allons au cœur du virus reconnaître des briques, des caractéristiques de comportement. Des composants qui sont à la base du virus et donc de tous ses variants

Régis Lhoste, président de Cyber-detect

Le logiciel développé par Cyber-detect, "Gorille", permet de reconnaître le virus caché dans les systèmes, car il identifie aussi ses variants. "Nous ne travaillons pas de la façon classique, qui permet de détecter des virus uniquement par leur signature. Grâce à l’analyse morphologique, nous allons au cœur du virus reconnaître des "briques", des caractéristiques de comportement". Des composants qui sont à la base du virus et donc de tous ses variants". Un peu comme les variants du virus Sars-CoV-2 portent la même morphologie de départ avec des variations.


Cyber-detect est une entreprise ancrée sur de solides bases scientifiques. Elle est née au LHS, le laboratoire Haute sécurité du LORIA (CNRS, INRIA, Université de Lorraine). Un lieu où les chercheurs surveillent les virus sur tout l’internet. Ils les attirent dans leurs filets pour mieux les analyser.

"Pour nos clients, le plus intéressant est la détection et la caractérisation des variants. La visualisation est là pour montrer quelles sont ses représentations. Et pour comprendre que les variants ont la même forme morphologique que le virus "souche"". Pour les jours, les semaines et les mois à venir, Régis Lhoste s’attend à découvrir d’autres variants. "Il faut s’attendre à voir apparaître des dizaines de variants. On peut même imaginer que chaque cible sera attaquée par un variant différent". Le virus étant dormant, potentiellement, il peut être n’importe où. Cyber-Detect est en train de vérifier tous les systèmes de ses clients, grands comptes et grandes entreprises.

Hermetic Wiper perturbe le passage des réfugiés entre l'Ukraine et la Roumanie

Le site américain Venturebeat, spécialisé dans les informations sur les nouvelles technologies, rapporte que ces attaques ont déjà eu des conséquences. Il mentionne un exemple à la frontière entre l'Ukraine et la Roumanie qui a eu pour effet de ralentir le passage des réfugiés. 

Précédent l’invasion russe en Ukraine, à la mi-janvier, d’après l’AFP, Microsoft avertissait déjà l’Ukraine que "la cyberattaque massive subie par les ministères et sites gouvernementaux ukrainiens pourrait rendre toute la structure informatique du gouvernement inopérable".

"Le logiciel malveillant (malware), qui ressemble à un rançongiciel, mais n'a pas de mécanisme de récupération de la rançon, vise à détruire et à rendre inopérables les sites visés, et non pas à récupérer une rançon", a déclaré le géant américain des logiciels dans un post sur son blog.

De plus, l'attaque semble avoir visé plus d'organismes qu'on ne le pensait initialement, selon Microsoft. "Nous avons trouvé ce logiciel malveillant sur des dizaines de systèmes appartenant au gouvernement, mais aussi à des ONG et à des organisations d'informations technologiques, toutes basées en Ukraine. À ce stade, nous ne pouvons dire quel est le cycle opérationnel de cette attaque, ni combien d'autres organisations peuvent en être victimes", a ajouté la compagnie.

Sur son site internet, le "cyber peace institute", une "organisation non gouvernementale indépendante et neutre dont la mission est de garantir les droits des personnes à la sécurité, à la dignité et à l'équité dans le cyberespace", basée en Suisse, a mis en ligne des informations sur la chronologie des cyber-attaques sur l'Ukraine. 

L'agence chargée de la sécurité informatique française, l'ANSSI, a souligné "qu'aucune cybermenace visant les organisations françaises en lien avec les récents événements n'a pour l'instant été détectée", mais a précisé suivre "la situation de près".

Tous les jours, recevez l’actualité de votre région par newsletter.
Tous les jours, recevez l’actualité de votre région par newsletter.
Veuillez choisir une région
France Télévisions utilise votre adresse e-mail pour vous envoyer la newsletter de votre région. Vous pouvez vous désabonner à tout moment via le lien en bas de ces newsletters. Notre politique de confidentialité
Je veux en savoir plus sur
le sujet
Veuillez choisir une région
en region
Veuillez choisir une région
sélectionner une région ou un sujet pour confirmer
Toute l'information