Vecteur d'une cyberattaque mondiale, le ransomware WannaCry - qui tire parti d'une fonctionnalité de type ver informatique pour se propager - pourrait avoir un lien avec la Corée du Nord. À prendre avec des pincettes à ce stade des investigations.

Chercheur en sécurité chez Google, Neel Mehta a identifié des lignes de code qui avaient déjà été utilisées dans une attaque en février 2015 avec le malware Contopee (un cheval de Troie de type backdoor) et attribuée au groupe Lazarus supposé lié au gouvernement de Corée du Nord.

Cette similitude a été repérée dans un échantillon d'une version préliminaire du crypteur téléchargé après infection par WannaCry et datant de février 2017. Le code en question a été supprimé des dernières versions de WannaCry. De leur côté, les sociétés de cybersécurité Symantec et Kaspersky Lab ont également trouvé du code commun entre WannaCry et le groupe Lazarus.

Kaspersky Lab affiche sa certitude concernant le fait que la version de début février de WannaCry a servi de base aux récentes attaques, et écrit : " Nous croyons fermement que l'échantillon de février 2017 a été compilé par les mêmes personnes ou par des personnes ayant accès au même code source que le crypteur Wannacry de mai 2017 utilisé dans la vague d'attaques du 11 mai. "

Pour autant, Kaspersky Lab ajoute que " davantage de recherches sont nécessaires dans les versions plus anciennes de WannaCry. […] Une chose est sûre, la découverte de Neel Mehta est l'indice le plus significatif à ce jour concernant les origines de WannaCry. "

Particulièrement adepte de la réutilisation de code en reprenant les fragments d'un malware pour les utiliser dans un autre, le groupe Lazarus serait à l'origine d'un peu moins d'une cinquantaine de familles différentes de malwares. Il serait derrière le piratage massif des studios Sony Pictures en 2014 ou encore le vol en 2016 de plusieurs millions de dollars à la banque centrale du Bangladesh.