C'est quoi un wiper ?
Définition, fonctionnement, exemples célèbres (NotPetya 10 Md$, Shamoon, HermeticWiper, AcidRain) et 5 réflexes face à la destruction cyber pure. Tout sur le sabotage cyber — la menace géopolitique sans rançon ni espoir de récupération.
C'est quoi un wiper ?
Un wiper est un logiciel malveillant conçu pour détruire les données et rendre les systèmes inutilisables, sans demande de rançon ni objectif financier. Souvent confondu avec un ransomware dans son apparence (chiffrement, message d'extorsion) mais sans clé de déchiffrement réelle. Motivation géopolitique ou idéologique. Particulièrement dévastateur car aucune perspective de récupération via paiement.
Le wiper est l'instrument d'une stratégie de sabotage cyber. NotPetya (2017) a démontré qu'une attaque ciblant initialement un État (Ukraine) peut produire des 10 Md$ de dégâts collatéraux globaux sur des entreprises sans lien apparent. Toute organisation présente dans une zone géopolitiquement tendue, ou liée par filiation/partenariat à une telle zone, est potentiellement exposée. Pour la dimension organisationnelle complète, voir crise cyber.
Comment fonctionne un wiper
Un wiper utilise les mêmes vecteurs d'intrusion qu'un ransomware ou une APT, mais sa charge utile finale est différente.
- Vecteurs d'entrée typiques. Phishing ciblé, exploitation de vulnérabilité, supply chain attack, compromission via des partenaires (cas NotPetya via M.E.Doc).
- Mouvement latéral. Comme une APT, le wiper se propage dans le SI, élève ses privilèges, identifie les systèmes critiques.
- Sabotage des sauvegardes. Avant la destruction principale, le wiper supprime ou chiffre les sauvegardes accessibles. Les sauvegardes hors ligne sont la dernière ligne de défense.
- Destruction. Effacement du MBR (Master Boot Record), chiffrement irréversible, écrasement des données, destruction du firmware. Selon la sophistication, la machine peut devenir inutilisable au-delà d'une simple réinstallation OS.
Le wiper en chiffres
Wipers marquants
Shamoon
Saudi Aramco — 30 000 postes détruits en quelques heures. Réapparu en 2016 et 2018 contre les compagnies pétrolières saoudiennes.
NotPetya
Initialement contre l'Ukraine via M.E.Doc. Maersk, Merck, FedEx, Mondelez victimes collatérales. 10 Md$ de dégâts globaux.
Olympic Destroyer
JO de PyeongChang 2018. Sabotage du système informatique de la cérémonie d'ouverture. Faux indices laissés pour brouiller l'attribution.
HermeticWiper / WhisperGate
Vague de wipers contre l'Ukraine en janvier-février 2022, juste avant l'invasion. Cibles : ministères, banques, médias.
AcidRain
Destruction des modems satellites Viasat KA-SAT. Effet collatéral : 5 800 éoliennes allemandes hors-service. Démonstration de l'effet domino du sabotage cyber.
Variants AcidPour, CaddyWiper
Famille de wipers qui continue d'évoluer en 2024-2025. Cibles principalement liées au conflit Russie-Ukraine et à l'écosystème OTAN.
5 réflexes face au sabotage cyber
Sauvegardes hors ligne
Règle 3-2-1 stricte. Sauvegardes immuables ou physiquement déconnectées. La seule défense ultime contre un wiper.
Segmentation forte
Microsegmentation pour empêcher la propagation. Un wiper ne doit pas pouvoir atteindre l'ensemble du SI depuis un poste compromis.
EDR comportemental
Détection d'écrasement massif de fichiers, modification du MBR, chiffrement rapide — comportements typiques wiper/ransomware.
PRA exercé
Plan de reprise d'activité testé annuellement avec scénario perte totale du SI. Capacité de reconstruction depuis les sauvegardes.
Veille géopolitique
Suivi des tensions géopolitiques pertinentes pour votre activité. Renforcement temporaire de la posture défensive en période de tension.
L'approche Twist face au sabotage cyber
Twist intervient sur la dimension organisationnelle de la résilience face au sabotage — la dimension technique étant traitée par RSSI et architectes de sécurité.
- Plan de continuité d'activité avec scénario destruction totale du SI : capacité à fonctionner en mode totalement dégradé.
- Exercice « perte totale du SI » : simulation d'un wiper généralisé. Test de la chaîne reconstruction → priorisation → communication.
- Coordination ANSSI en cas de suspicion de wiper étatique. La dimension géopolitique implique un échange réglementaire spécifique.
FAQ Sabotage et wiper cyber
C'est quoi un wiper ?
Un wiper est un logiciel malveillant conçu pour détruire les données et rendre les systèmes inutilisables, sans demande de rançon. Souvent confondu avec un ransomware mais sans clé de déchiffrement réelle. Motivation géopolitique ou idéologique.
Quelle différence entre wiper et ransomware ?
Le ransomware vise un gain financier (chiffrement contre rançon). Le wiper vise la destruction pure (motivation géopolitique ou idéologique). Certains wipers se présentent comme des ransomwares (NotPetya 2017) pour brouiller l'attribution. Différence opérationnelle clé : avec un wiper, payer ne change rien — les données sont irrémédiablement détruites.
Quels sont les cas de wiper célèbres ?
Shamoon (2012, 2016, 2018) — Saudi Aramco. NotPetya (2017) — 10 Md$ de dégâts globaux. Olympic Destroyer (2018) — JO PyeongChang. HermeticWiper / WhisperGate (2022) — pré-invasion russe en Ukraine. AcidRain (2022) — destruction satellites Viasat avec effet domino sur 5 800 éoliennes allemandes.
Comment se protéger contre un wiper ?
Cinq leviers : sauvegardes 3-2-1 strictes (3 copies, 2 supports, 1 hors site immuable), MFA généralisée, segmentation réseau pour limiter la propagation, EDR avec détection comportementale, plan de reprise d'activité (PRA) testé annuellement.
Les wipers ciblent-ils principalement des États ?
Historiquement oui. Mais NotPetya (2017) a démontré que les organisations privées peuvent être victimes par effet collatéral : Maersk, Merck, FedEx, Mondelez ont perdu des centaines de millions sans être les cibles initiales. Toute organisation présente dans une zone géopolitiquement tendue est potentiellement exposée.
Renforcer votre résilience face au sabotage cyber ?
30 minutes pour cadrer vos enjeux et dessiner une trajectoire réaliste. Gratuit, sans engagement.
Discuter avec un consultant