Par Théophile Gacogne.
Depuis quelques jours, un virus portant le nom de « WannaCry » a touché des centaines de milliers d’ordinateurs à travers le monde. Ce ransomware chiffre vos données et vous demande de payer afin de les récupérer.
Le ministère de l’Intérieur russe, des hôpitaux britanniques mais aussi de nombreuses grandes entreprises à travers le monde ont subi ce virus de plein fouet.
Une propagation éclair
WannaCry combine pour la première fois la méthode d’un ransomware et celle d’un ver informatique. Il utilise une faille du système d’exploitation Windows pour se déplacer rapidement dans tous les ordinateurs d’un même réseau interne. En un peu plus de 48 heures, le virus avait déjà fait plus de 200 000 victimes et a touché près de 150 pays, d’après les estimations d’Europol.
Personne ne semblait réellement à l’abri, puisque de grandes sociétés comme le groupe américain FedEx, mais aussi de nombreuses banques russes ou encore la compagnie française Renault ont notamment été affectées.
Microsoft était au courant de l’existence de cette faille et un patch pour y pallier avait été mis à disposition depuis mars dernier. Bien évidemment, il n’avait pas été installé dans tous les services informatiques du monde.
De plus, il n’y avait pas eu de patch pour le système d’exploitation Windows XP, encore beaucoup utilisé dans de nombreuses entreprises. Il aura fallu attendre la cyberattaque, pour que Microsoft propose un patch en urgence au lendemain de la propagation.
Un jeune étudiant en cybersécurité ralentit le virus
Il aura suffi de quelques dollars pour acheter un nom de domaine, et ainsi réussir l’exploit de ralentir la propagation du virus. Il a souhaité conserver l’anonymat, mais la presse britannique parle de ce jeune étudiant de 22 ans comme du « héros » qui a « sauvé le monde ».
Le jeune homme explique sur son blog, comment il a « sauté dans tous les sens » suite à l’excitation provoquée par sa découverte. Il a dévoilé à l’AFP que « Généralement un logiciel malveillant est relié à un nom de domaine qui n’est pas enregistré. En enregistrant ce nom de domaine, on arrive à stopper sa propagation ».
Il a également avoué sur Twitter qu’il n’était absolument pas sûr que cette manœuvre puisse être suffisante pour stopper la cyberattaque. Les médias ont alors parlé de lui comme d’un « héros accidentel », en précisant tout de même qu’il a fait preuve d’une maîtrise informatique considérable, et qu’il a surtout travaillé toute la nuit de vendredi à samedi pour trouver la solution.
De nouvelles attaques sont possibles
La ministre britannique de l’Intérieur, Amber Rudd, a expliqué qu’il fallait se préparer à d’autres attaques. Le jeune chercheur britannique a également prévenu que les pirates avaient sûrement la possibilité de revenir à la charge en changeant le code, et qu’il serait alors presque impossible d’arrêter la propagation. « Vous ne serez en sécurité que lorsque vous aurez installé le correctif le plus rapidement possible », a-t-il tweeté. Une version WannaCry 2.0 est donc à craindre.
Qui sont les responsables ?
Même s’il est encore trop tôt pour connaître le nom des coupables, plusieurs spécialistes et agences de sécurité émettent un lien avec la Corée du Nord. Ainsi, la firme russe Kaspersky indique que le code informatique du virus comporte de nombreuses similitudes avec un autre programme malveillant utilisé par Lazarus. Lazarus étant un groupe de pirates informatiques nord-coréens.
Un autre groupe de pirates portant le nom de The Shadow Brokers a revendiqué l’attaque. Ils expliquent dans un anglais assez approximatif, ne pas vouloir « voler les économies des grand-mères » et qu’il s’agit d’une histoire entre eux et The Equation Group qui est une entité de la NSA, la célèbre agence de renseignement américaine.
Dans un dernier message du 16 mai, The Shadow Brokers assure que de nouveaux outils de piratage arriveront courant juin. Ils devraient être capables de pirater des navigateurs, des routeurs, des smartphones et quelques objets connectés qui remplissent nos maisons.
Ils pourront également mettre à mal Windows 10 et récupérer de nombreuses données, telles que le réseau de virements bancaires, ou encore les programmes nucléaires et balistiques de la Russie, de la Chine, de l’Iran ou de la Corée du Nord.
Bien sûr, le groupe de hackers précise que tout cela est à vendre au plus offrant, et qu’il regrette que personne n’ait encore désiré acheté les outils de piratage, ce qui aurait pu éviter les cyberattaques.
Ils demandent donc désormais aux différents gouvernements, « de signaler les vulnérabilités aux fournisseurs de logiciels, plutôt que de les stocker, de les vendre ou de les exploiter ».
Bon article.
Je ne comprends pas, puisqu’il y a paiement, qu’on ne puisse pas remonter à la source ?
On peut tracer les bitcoins quand ils sont convertis en argent réel et vu les sommes, c’est inévitable.
@IImryn
Bon article mais qui ne répond pas à l’évidente question:
-comment est-il impossible de” remonter à la source” puisque des progrès en informatique évidents ont permis des missions spatiales récentes d’une complexité inouïe comme Rosetta/Philae et Curiosity.?
Les ordinateurs et leur langage ne doivent-ils pas être compréhensibles par leurs concepteurs?
@IImryn
Moi non plus je ne comprends pas.
Cependant, certains articles mentionnent seulement 40kusd de paiement tracé sur le portefeuille bitcoin en question.
je doute que le groupe se mette en danger pour si peu.
Si j’ai tout bien suivi le groupe “The Shadow Brokers” n’aurait pas revendiqué l’attaque, mais plutôt rendu publique la faille “0 day” (donc exploitable immédiatement, et déjà exploitée par la NSA) sur laquelle s’appuie le virus pour se propager. Cette faille aurait été rendue publique peu de temps avant que Microsoft ne publie le correctif (en mars, donc), ce qui laissait un peu de temps pour la mise à jour des systèmes.
Au passage Windows XP est encore utilisé dans l’industrie pour des activités très spécifiques, mais si ces activités nécessitent que le poste soit connecté à l’Internet il faut sérieusement se poser des questions.
Lire ici pour mes sources : https://www.nextinpact.com/news/104293-shadow-brokers-abonnement-mensuel-pour-recevoir-archives-failles.htm