{"id":10084,"date":"2018-03-13T11:29:52","date_gmt":"2018-03-13T11:29:52","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=10084"},"modified":"2022-05-05T13:46:57","modified_gmt":"2022-05-05T11:46:57","slug":"olympic-destroyer","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/olympic-destroyer\/10084\/","title":{"rendered":"Olympic Destroyer : qui a pirat\u00e9 les Jeux Olympiques ?"},"content":{"rendered":"<p>Autrefois, les pays participants suspendaient les guerres et mettaient de c\u00f4t\u00e9 les d\u00e9saccords politiques pendant les Jeux Olympiques. Il semblerait que de nos jours ce soit plut\u00f4t le contraire. Les Jeux Olympiques d\u2019Hiver de PyeongChang ont d\u00e9but\u00e9 avec un scandale : des pirates informatiques inconnus <a href=\"https:\/\/www.reuters.com\/article\/us-olympics-2018-cyber\/games-organizers-confirm-cyber-attack-wont-reveal-source-idUSKBN1FV036\" target=\"_blank\" rel=\"noopener nofollow\">ont attaqu\u00e9 les serveurs juste avant la c\u00e9r\u00e9monie d\u2019ouverture<\/a> et de nombreux spectateurs n\u2019ont pas pu y assister parce qu\u2019ils ne pouvaient pas imprimer leurs entr\u00e9es.<\/p>\n<p>\u00c0 cause de cette attaque, le malware baptis\u00e9 Olympic Destroyer a rendu le site officiel des JO et la connexion wifi du stade inutilisables, et a \u00e9galement affect\u00e9 les retransmissions de l\u2019\u00e9v\u00e9nement. Le Comit\u00e9 d\u2019organisation a garanti qu\u2019il n\u2019y avait pas eu de graves cons\u00e9quences, mais la confusion \u00e9tait s\u00e9rieuse. Il serait tr\u00e8s int\u00e9ressant de d\u00e9couvrir ce qui s\u2019est r\u00e9ellement pass\u00e9 et qui \u00e9tait derri\u00e8re cette attaque.<\/p>\n<h2>Comment fonctionne Olympic Destroyer ?<\/h2>\n<p>Si l\u2019on consid\u00e8re son m\u00e9canisme de propagation, Olympic Destroyer est un ver r\u00e9seau. Nos experts ont trouv\u00e9 au moins trois plateformes qui \u00e9taient infect\u00e9es \u00e0 l\u2019origine et qui ont ensuite \u00e9t\u00e9 utilis\u00e9es pour propager le ver\u00a0: les pirates ont inclus <a href=\"http:\/\/pyeongchang2018.com\" target=\"_blank\" rel=\"noopener nofollow\">pyeongchang2018.com<\/a>, les serveurs de r\u00e9seau des stations de ski et les serveurs d\u2019Atos, le prestataire informatique.<\/p>\n<p>Une fois dans les plateformes, le ver s\u2019est propag\u00e9 automatiquement dans le r\u00e9seau \u00e0 travers les partages r\u00e9seaux Windows. Pendant son passage, il a vol\u00e9 des mots de passe sauvegard\u00e9s sur les ordinateurs infect\u00e9s, les a gard\u00e9s dans son syst\u00e8me et les a utilis\u00e9s pour la propagation qui a suivi. L\u2019objectif final d\u2019Olympic Destroyer \u00e9tait d\u2019\u00e9liminer les fichiers des lecteurs r\u00e9seau que le ver pouvait attendre et couper les syst\u00e8mes qu\u2019il avait infect\u00e9.<\/p>\n<h3>Qui a g\u00e2ch\u00e9 la f\u00eate?<\/h3>\n<p>Les journalistes et les blogueurs ont r\u00e9pandu des rumeurs sur la personne qui essayait de perturber la c\u00e9r\u00e9monie d\u2019ouverture des Jeux Olympiques et sur ses raisons. La Cor\u00e9e du Nord \u00e9tait d\u00e9j\u00e0 suspect\u00e9e m\u00eame avant le d\u00e9but des JO. Les nord-cor\u00e9ens ont pr\u00e9tendument espionn\u00e9 les ordinateurs du Comit\u00e9 d\u2019organisation<\/p>\n<p>Ensuite, les soup\u00e7ons se sont naturellement tourn\u00e9s vers les russes\u00a0; apr\u00e8s tout, seuls quelques membres de la s\u00e9lection russe avaient \u00e9t\u00e9 choisis pour participer, ils \u00e9taient soumis \u00e0 des restrictions s\u00e9v\u00e8res et le drapeau national avait \u00e9t\u00e9 banni. Cependant, les enqu\u00eateurs ont d\u00e9tect\u00e9 des similarit\u00e9s entre Olympic Destroyer et le malware cr\u00e9\u00e9 par les cybercriminels chinois. Les soup\u00e7ons se sont tourn\u00e9s vers la Chine.<\/p>\n<h3>Kaspersky Lab a enqu\u00eat\u00e9<\/h3>\n<p>Pendant que le public \u00e9mettait des hypoth\u00e8ses, les experts en cybers\u00e9curit\u00e9 ont continu\u00e9 \u00e0 chercher des preuves. Kaspersky Lab a men\u00e9 sa propre enqu\u00eate.<\/p>\n<p>Au premier abord, nos experts, comme bien d\u2019autres, ont d\u2019abord suspect\u00e9 les cybercriminels nord-cor\u00e9ens, et plus sp\u00e9cifiquement le <a href=\"https:\/\/www.kaspersky.com\/blog\/operation-blockbuster\/11407\/\" target=\"_blank\" rel=\"noopener nofollow\">groupe Lazarus<\/a>. Apr\u00e8s avoir analys\u00e9 un \u00e9chantillon d\u2019Olympic Destroyer, les enqu\u00eateurs ont trouv\u00e9 une s\u00e9rie d\u2019empreintes num\u00e9riques qui d\u00e9signaient directement Lazarus comme l\u2019auteur des faits.<\/p>\n<p>Cependant, comme nos experts ont creus\u00e9 plus profond, ils ont trouv\u00e9 de plus en plus de diff\u00e9rences. Apr\u00e8s avoir effectu\u00e9 une nouvelle \u00e9valuation approfondie de toutes les preuves trouv\u00e9es et une \u00e9tude d\u00e9taill\u00e9e du code, ils se sont rendus compte que ce qui semblait \u00eatre une preuve concluante \u00e9tait en fait une habile imitation\u00a0; ce que nous appelons une fausse banni\u00e8re.<\/p>\n<p>Par ailleurs, lorsque nos experts ont analys\u00e9 Olympic Destroyer, ils ont d\u00e9couvert certaines preuves qui accusaient un auteur compl\u00e8tement diff\u00e9rent\u00a0: le <a href=\"https:\/\/www.kaspersky.com\/blog\/sofacy-2017-update\/21227\/\" target=\"_blank\" rel=\"noopener nofollow\">groupe des pirates informatiques russes Sofacy<\/a> (aussi appel\u00e9 APT28 et Fancy Bear). Cependant, nous ne pouvons pas exclure la possibilit\u00e9 que cette preuve soit \u00e9galement fausse. Vous n\u2019\u00eates jamais s\u00fbrs \u00e0 100 % lorsqu\u2019il s\u2019agit du cyberespionnage de haut niveau.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"ksc-trial-generic\">\n","protected":false},"excerpt":{"rendered":"<p>Les experts de Kaspersky Lab ont \u00e9tudi\u00e9 les preuves num\u00e9riques du piratage qui a vis\u00e9 les Jeux Olympiques 2018 pour trouver le v\u00e9ritable agresseur.<\/p>\n","protected":false},"author":2706,"featured_media":10086,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6,686,1148],"tags":[2599,498,2791,1628,188,2794,2792,602,2598,2793,2600],"class_list":{"0":"post-10084","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"category-threats","9":"category-special-projects","10":"tag-thesas2018","11":"tag-apt","12":"tag-enquetes","13":"tag-jeux-olympiques","14":"tag-kaspersky-lab","15":"tag-lazarus","16":"tag-olympic-destroyer","17":"tag-sas","18":"tag-sas-2018","19":"tag-sofacy","20":"tag-sommet-des-analystes-de-securite"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/olympic-destroyer\/10084\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/olympic-destroyer\/12750\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/olympic-destroyer\/10555\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/olympic-destroyer\/5658\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/olympic-destroyer\/14867\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/olympic-destroyer\/13181\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/olympic-destroyer\/12607\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/olympic-destroyer\/15492\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/olympic-destroyer\/15153\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/olympic-destroyer\/19860\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/olympic-destroyer\/21494\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/olympic-destroyer\/9059\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/olympic-destroyer\/16058\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/olympic-destroyer\/19837\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/olympic-destroyer\/19781\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/olympic-destroyer\/19807\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/apt\/","name":"APT"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/10084","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2706"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=10084"}],"version-history":[{"count":8,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/10084\/revisions"}],"predecessor-version":[{"id":14860,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/10084\/revisions\/14860"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/10086"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=10084"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=10084"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=10084"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}