Wanna Cry : le point sur deux semaines mouvementées

Le 12 mai 2017, un ver informatique nommé WanaCrypt0r 2.0, ou WannaCry, infectait en masse des ordinateurs du monde entier. Nous vous proposons de revenir sur les dessous de l’affaire avec notre dossier sur ce malware inquiétant.

Une attaque d’une envergure exceptionnelle

Cela fait maintenant plus de deux semaines que le grand public a découvert WanaCrypt0r 2.0, le ver informatique exploitant EternalBlue (une faille informatique rendue publique par un piratage de la NSA) et responsable selon Europol de la plus grosse attaque par ransomware à ce jour (1). En l’espace de quelques jours, plus de 200 000 ordinateurs de 150 pays différents ont été infectés. En outre, dès le lendemain, des variantes (2) du virus orientées vers de nouvelles victimes voient le jour, donnant ainsi une impulsion nouvelle à la propagation du malware. “DarkoderCrypt0r” ou “WannaCrypt 4.0”, pour ne citer qu’eux, incluent par exemple des interfaces personnalisables ou des langues, comme le thaïlandais, qui n’étaient pas supportées par le ver original.

La découverte d’un killswitch, un nom de domaine qui une fois enregistré stoppe la propagation du ver, a permis de ralentir en partie l’attaque. Puis, au cours du weekend suivant le lancement de WannaCry, des nouvelles menaces sont apparues : ce furent tout d’abord des versions du ver dont le killswitch correspondait à un nom de domaine différent, ou qui ne possédaient tout simplement pas une telle sécurité. Puis un autre ver, Adylkuzz, moins visible que WannaCry mais bien plus profitable pour ses concepteurs, a commencé à faire parler de lui ; enfin, EternalRocks, un ver qui intègre non plus 2 mais 7 des outils piratés à la NSA, repéré une semaine après le déclenchement de l’affaire, et qui pourrait bien être le plus inquiétant de tous.

La Corée du Nord dans le viseur

Après des révélations de Symantec sur les liens probables entre WannaCry et le groupe de pirates Lazarus, la Corée du Nord est désormais sur toutes les lèvres : un pays est-il derrière cette affaire qui a touché le monde entier? Doit-on craindre une tentative de déstabilisation économique, ou ne sont-ce que des pirates en quête de profits? Cette attaque tombe dans un contexte d’inquiétude généralisé portant sur le rôle d’acteurs étatiques dans le piratage des élections américaines et françaises, une tentative de déstabilisation de la démocratie par les nouveaux canaux qu’offre internet et les nouvelles technologies. Autant d’inquiétudes qui viennent alimenter les craintes d’une éventuelle cyberguerre mondiale.

Une responsabilité partagée

Attribuer la responsabilité de la virulence de cette attaque revient à mobiliser un noeud complexe d’acteurs :

  • bien sûr, les premiers responsables sont les pirates derrière la conception du ver, dont on ne connaît pas l’identité mais dont on soupçonne le lien avec l’équipe de pirates Lazarus, un groupe très probablement affilié à la Corée du Nord ;
  • The Shadow Brokers, le groupe qui a piraté puis diffusé les outils utilisés par WannaCry, mettant ainsi à la disposition de tous des instruments très puissants qui n’auraient autrement jamais pu être forgés par des pirates n’ayant pas les moyens techniques d’une institution comme la NSA ;
  • Sans oublier la NSA elle-même, qui a découvert les failles mais les a tenues secrètes pour ses propres besoins, et qui a conçu les outils à l’origine du ver.

Un deuxième niveau de responsabilité voit le jour avec la négligence d’acteurs de bonne foi, mais non de bonnes pratiques :

  • en premier lieu, les utilisateurs Windows qui n’ont pas mis à jour leurs machines et qui, même possédant le dernier système d’exploitation (OS), n’avaient pas appliqué les patchs correcteurs et ont donc été directement touchés.
  • dans une moindre mesure, car 98% des ordinateurs touchés tournaient sous Windows 7 selon un chercheur de Kaspersky Lab (3), les entreprises ou les institutions comme Renault ou la NHS qui, pour diverses raisons économiques ou de compatibilité de logiciels et applications, n’avaient pas changé leur OS après son abandon par Microsoft et qui n’ont donc pas pu profiter des patchs de sécurité corrigeant la vulnérabilité que l’entreprise avait publié un mois avant l’attaque ;
  • et enfin, Microsoft lui-même, chargé de repérer et patcher le plus rapidement possible ces failles, et qui par ailleurs disposait déjà avant l’attaque des patchs nécessaires pour prévenir les vulnérabilités sur les systèmes qu’il ne supportait plus (windows XP par exemple), patchs qu’il n’a mis à disposition de ses clients qu’après l’attaque (contrairement à leur équivalent pour les OS qu’il supporte encore, mis en ligne bien avant l’attaque) ;

On voit que cette attaque, d’une ampleur considérable, pose de nombreuses questions délicates. Pour tenter de clarifier la situation, nous avons préparé un dossier qui revient sur les principaux aspect de cette affaire :

Suite du dossier :

1 http://www.cnbc.com/2017/05/14/cyber-attack-hits-200000-in-at-least-150-countries-europol.html

2 http://www.silicon.fr/wannacry-et-maintenant-les-variantes-174681.html

3 https://twitter.com/craiu/status/865562842149392384

Suggestions