WannaCry


WannaCry, aussi connu sous le nom WannaCrypt[1],[2], WanaCrypt0r 2.0[2] ou similaires, est un logiciel malveillant de type ransomware auto-répliquant[3].

En , il est utilisé lors d'une cyberattaque mondiale massive, touchant plus de 300 000 ordinateurs[4], dans plus de 150 pays[5],[6],[7],[8], principalement en Inde, aux États-Unis et en Russie[2],[9],[10],[11] et utilisant le système obsolète Windows XP[12] et plus généralement toutes les versions antérieures à Windows 10 n'ayant pas effectué les mises à jour de sécurité, en particulier celle du 14 mars 2017 (bulletin de sécurité MS17-010)[8].

Cette cyberattaque est considérée comme le plus grand piratage à rançon de l'histoire d'Internet[6],[13], l'office européen des polices Europol la qualifiant « d'un niveau sans précédent »[14] et ajoutant « qu'il ne faut en aucun cas payer la rançon »[15].

Parmi les plus importantes organisations touchées par cette attaque, on retrouve notamment les entreprises Vodafone, FedEx, Renault, Telefónica, le National Health Service, le ministère de l'Intérieur russe ou encore la Deutsche Bahn[16],[2].

Ce logiciel malveillant utilise la faille de sécurité EternalBlue exploitée par la NSA et volée par les Shadow Brokers, un groupe de pirates informatiques. Cette faille a été corrigée depuis le mois de mars 2017 par Microsoft via le bulletin MS17-010 dans le cadre de son Patch Tuesday.

Ce virus a refait parler de lui en s'attaquant le 23 juin 2017 à une des usines du groupe automobile Honda, située à Sayama, au Japon, et cela intervient cinq jours avant le début d'une autre grande cyberattaque mondiale, NotPetya.

L'attaque

Contexte

Carte estimative des pays infectés.

Les premières infections ont eu lieu en Espagne[17] ou au Royaume-Uni[8] avant de se répandre dans le reste du monde en quelques heures[17]. La première nuit, le nombre supposé de contaminations s'élevait à 100 000 systèmes Windows[17]. Il semblerait que les premières traces du virus remontent au mois de février précédent[18]. Certaines compagnies ont fait le choix d'arrêter les chaînes de production contaminées pour tenter de stopper la propagation[17].

Le système national de santé britannique (NHS) est l'une des principales victimes du ransomware[17]. Cinquante hôpitaux du NHS[6],[5],[19],[8], c'est-à-dire 20 % d'entre eux, sont concernés[12]. En effet, ils possèdent des dizaines de milliers d’ordinateurs utilisant encore Windows XP[19].

Il a été possible de retarder la propagation du virus en enregistrant un nom de domaine spécifique, un killswitch, ce qu'a fait un chercheur britannique[6],[20]. Il s'agirait d'une sécurité conçue par les développeurs du logiciel eux-mêmes[17],[2]. Le virus se propage tant que le nom de domaine défini précédemment n'est pas enregistré, mais l'étape de propagation s'inhibe si tel est le cas[6],[18]. Il s'agissait de iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Ce répit a été de courte durée puisque le virus s'est adapté dès lors. Au moins deux autres variantes se sont répandues peu de temps après, dont une ne comportant pas une sécurité par nom de domaine[3]. Le nom de domaine issu d'une de la seconde de ces variantes est ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com, les deux ayant le même suffixe. Plusieurs autres « coupes-circuit » ont au fur et à mesure étés repérés[10]. Il comporte aussi un redémarrage automatique en cas d'interruption de l’exécution[8]. De même, outre le chiffrement des fichiers de travail de l'utilisateur, le logiciel modifie des volumes systèmes afin de gêner les anti-virus ne s'étant pas activés à temps[8].

La BBC affirme que ce virus serait l'expression d'un mécontentement envers la politique de Donald Trump[22],[réf. insuffisante]. Certains journalistes font le rapprochement avec le refus d'Apple de partager des techniques sensibles avec la NSA lors d'une des enquêtes contre le terrorisme de cette dernière, en 2015[23].

Caractéristiques

Comme la plupart des virus informatiques, celui-ci se transmet par le réseau local[24] et Internet[22] via des pièces jointes contaminées[6],[17],[8] envoyées par un grand nombre d'e-mails[25] via un botnet[3]. Cette thèse est controversée, car aucune trace de ces e-mails n'a été trouvée : « Tout le monde cherche ce fameux e-mail initial et, en quatre jours, aucune équipe n’est parvenue à mettre la main dessus. » affirme Vincent Nguyen, manager de Wavestone en charge du CERT-Wavestone[26].

Cette seconde thèse est appuyée par des chercheurs affirmant que leurs honeypots simplement connectés à Internet se sont fait très rapidement contaminer[26]. Il est donc auto-répliquant[3].

De manière commune à tous les ransomwares, une fois la contamination effectuée, le virus chiffre tous les fichiers sur l'ordinateur concerné et affiche une demande de rançon à l'utilisateur.

Il se propage ensuite en se connectant à d'autres ordinateurs vulnérables[12], ce de manière totalement autonome[3]. Linux, possédant en partie une intégration du protocole Samba, ne semble pas ciblée[19].

Ce ransomware se caractérise par la rapidité de son attaque[10], affectant des centaines de milliers de machines par le monde en un week-end[26]. La fréquence d'attaque a été d'au moins une tentative par seconde[10] et de 226.800 adresses IP[11] affectées à son point fort. De même, il ne semble pas avoir fait l'objet de phases de test mais plutôt d'une période d'enquête préliminaire[26]. Ainsi, ni la piste d'une organisation criminelle, ni celle d'une attaque étatique n'est écartée[18]. Europol affirme qu'aucun pays n'est particulièrement visé[24].

La rançon demandée est, ici aussi, une somme en bitcoins[24], d'une valeur relativement basse[18] comprise entre 300[17] [24] [24] et 600[22] [2] [19] dollars. Elle est initialement de 300 pour ensuite s'élever à 600 après trois jours si l'utilisateur n'a toujours pas payé, les données sont ensuite supprimées après sept jours[6],[18]. Les malfaiteurs comptent sur le grand nombre d’infections[18]. Normalement, une fois la rançon payée, une clé de chiffrement détenue par les hackers permet de déverrouiller l'ordinateur, mais rien ne le garantit. En effet, le code analysé montre que le déchiffrement des fichiers nécessite une intervention manuelle de la part des malfaiteurs[19].

Des spécialistes affirment donc que, même si la rançon est payée, les utilisateurs ont peu de chance de voir leur fichiers déchiffrés et de pouvoir les récupérer[10]. De même, aucune récupération de fichiers avec succès n'a été repérée jusque alors[10]. Les transactions en bitcoins étant publiques, les malfaiteurs auraient reçu plus de 95 000 dollars[27],[28],[29]. Un robot Twitter a été créé dans le but de montrer l'augmentation de cette somme[30].

Réactions et conséquences

Compte tenu de l'ampleur de l'impact potentiel pour ses clients et leurs entreprises, Microsoft a exceptionnellement mis à disposition des mises à jour de sécurité pour les plates-formes qui ne sont plus maintenues par Microsoft, c’est-à-dire Windows XP, Windows 8 et Windows Server 2003[1],[5]. La firme affirme que Windows 10 n'est pas concerné[31],[14]. Brad Smith, dirigeant de la firme, pointe du doigt la responsabilité des agences de renseignement dans les affaires de ce type[9],[32] et espère qu'elle leur fera prendre conscience de leur responsabilité[31] : « Cette attaque fournit un nouvel exemple pour illustrer le problème de l’entreposage des failles par les gouvernements »[33][réf. insuffisante].

En France, le Parquet de Paris a confié une enquête en flagrance à l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication[6] pour "accès et maintien frauduleux dans des systèmes de traitement automatisé des données", "entrave au fonctionnement de ces systèmes" et "extorsions et tentatives d'extorsion". L'office européen des polices Europol travaille aussi sur cette affaire[14]. Cette attaque aurait causé des dizaines de millions de dollars de dégâts[34].

Les internautes ayant vu leur ordinateur infecté sont invités à garder une copie des fichiers chiffrés. En effet, il est possible qu'un chercheur trouve par la suite un moyen de les déchiffrer[18].

En Suisse, la Centrale d'enregistrement et d'analyse pour la sûreté de l'information a déclaré que la cyberattaque a infecté prés de 200 machines au pays[35].

Quelques jours plus tard, une deuxième cyberattaque de grande ampleur, Adylkuzz, a frappé des centaines de milliers d'ordinateurs ; elle exploite les mêmes failles de sécurité que WannaCry[11],[36]. Puis, le 27 juin 2017, une autre cyberattaque de grande ampleur, NotPetya, a affecté des centaines de milliers d'ordinateurs, en exploitant également ces vulnérabilités.

Enquête et soupçons

La recherche se tourne vers le « patient zéro », c'est-à-dire le premier ordinateur à avoir été infecté[4].

Bien qu'il soit assez difficile de repérer avec précision l'origine de l'attaque, des chercheurs spécialistes en sécurité informatique ont communiqué au sujet d'un lien probable avec la Corée du Nord. L'ingénieur Neel Nehta, informaticien, employé de la société Google, a mis en ligne des portions de code source qui démontreraient certaines similitudes entre ce nouveau virus et une autre série de piratages attribués à ce pays asiatique[37]. Les hackers Nord-Coréens soupçonnés appartiennent au collectif Lazarus Group [38], s'étant fait remarquer en 2007, comme l’affirme Kaspersky[11].

D'autres chercheurs ont également fait le lien avec des pirates informatiques chinois[39]. Les experts de Flashpoint ont analysé les messages de rançon de WannaCry dans 28 langues différentes. Leurs résultats montrent que les pirates parlent couramment chinois dont le message est grammaticalement mieux construit et contient plus d'informations. Les autres traductions ont été obtenues à partir du message anglais (contenant une faute grammaticale grave) et de Google Traduction. Les bouts de programme pointant vers le collectif Lazarus Group  auraient pu n'être implantés dans le malware qu'afin de couvrir les traces des pirates.

Lutte contre le virus avec des logiciels

Un groupe de trois français, experts en sécurité informatique, ont mis au point un logiciel nommé Wanakiwi[40], un outil permettant de récupérer l’accès aux données verrouillées[41]. Ce logiciel fonctionne sur Windows XP, Windows Vista et Windows 7 et a été approuvé par l'office de police européenne Europol[15].

Comme de nombreux ransomwares, WannaCry génère deux clés pour chiffrer les données. L'une est publique et l'autre est privée. Une fois le malware installé, la clé privée est elle-même chiffrée. Le virus utilise des fonctions cryptographiques de Windows pour générer ces clés, mais ces fonctions inscrivent brièvement de manière non chiffrée dans la mémoire vive de l'ordinateur la clé privée. C'est ainsi qu'ils ont réussi à créer ce logiciel capable d’aller chercher les traces de cette clé privée pour déverrouiller l'accès aux fichiers.

Le groupe appelle à la réactivité car « cette mémoire se vide automatiquement au bout de sept jours »[42]. De plus, pour que cette solution fonctionne, les ordinateurs touchés ne doivent pas avoir été redémarrés après leur infection, la mémoire vive étant volatile. Wanakiwi fonctionne dans 60% des cas pour les machines tournant sous Windows XP. Sur Windows 7, le taux de réussite stagne pour le moment à 10%[41].

Plusieurs utilitaires ont été construits qui permettent de se protéger contre la faille de sécurité, parmi lesquels WannaSmile[43], qui désactive certaines fonctions des systèmes Windows utilisées par la faille et WannaPatch[44], du Français SysStreaming, qui détecte si un système est vulnérable et, si c'est le cas, qui permet le téléchargement immédiat du correctif idoine.

Notes et références

  1. a et b (en) « Customer Guidance for WannaCrypt attacks », MSRC,‎ (lire en ligne)
  2. a, b, c, d, e et f « Ce que l'on sait de cette cyberattaque colossale au niveau mondial », La Tribune,‎ (lire en ligne)
  3. a, b, c, d et e « Juniper : Détails techniques sur WannaCry », InformatiqueNews.fr,‎ (lire en ligne)
  4. a et b « Ransomware : le nettoyage se poursuit après le chaos WannaCry », ZDNet France,‎ (lire en ligne)
  5. a, b et c « WannaCry : Le ransomware planétaire encore prêt à frapper - Le Monde Informatique », LeMondeInformatique,‎ (lire en ligne).
  6. a, b, c, d, e, f, g et h « Cyberattaque WannaCry : ce qu’il faut savoir sur le ransomware qui secoue le monde », Futura,‎ (lire en ligne).
  7. « WannaCry, le ransomware qui paralyse l'internet », sur clubic.com (consulté le 15 mai 2017).
  8. a, b, c, d, e, f et g « Wannacry : Le point au jour 4 », InformatiqueNews.fr,‎ (lire en ligne).
  9. a et b Arnaud, « WannaCry : Microsoft met en cause les gouvernements après l'attaque massive du week-end | Slice42 », Slice42,‎ (lire en ligne).
  10. a, b, c, d, e et f « Check Point présente la carte mondiale de l'infection du logiciel rançonneur WannaCry », sur Global Security Mag Online (consulté le 18 mai 2017)
  11. a, b, c et d « WannaCry: malgré un ralentissement de l'infection, la cyberattaque reste inquiétante », La Tribune,‎ (lire en ligne)
  12. a, b et c « WannaCry : une attaque au rançongiciel sans précédent », sur Programmez! (consulté le 14 mai 2017)
  13. (en) Chris Graham, « NHS cyber attack: Everything you need to know about 'biggest ransomware' offensive in history », The Telegraph,‎ (lire en ligne).
  14. a, b et c « Cyberattaque : Europol sur le pied de guerre - Amériques - RFI », Rfi.fr, (consulté le 15 mai 2017)
  15. a et b « Wannacry Ransomware », sur europol.europa.eu (consulté le 19 mai 2017)
  16. Nathalie Guibert, Damien Leloup et Philippe Bernard (Londres correspondant), « Une cyberattaque massive bloque des ordinateurs dans des dizaines de pays », Le Monde.fr,‎ (ISSN 1950-6244, lire en ligne)
  17. a, b, c, d, e, f, g et h « WannaCry : autopsie du ransomware 2.0, boosté par les exploits de la NSA », Silicon,‎ (lire en ligne).
  18. a, b, c, d, e, f et g « Cyberattaque informatique : tout savoir sur WannaCry qui a ravagé des milliers de PC », PhonAndroid,‎ (lire en ligne)
  19. a, b, c, d et e « Pourquoi le ransomware WannaCry fait-il autant de dégâts ? », usine-digitale.fr,‎ (lire en ligne).
  20. « Cyberattaque mondiale : comment ce jeune Britannique de 22 ans a réussi à limiter l'ampleur des dégâts », LCI,‎ (lire en ligne).
  21. a, b et c « Ransomware WannaCry : des hôpitaux et opérateurs en otage, plus de 100 pays touchés », Tom's Hardware,‎ (lire en ligne).
  22. « WannaCry : pourquoi Apple a raison de refuser de coopérer avec le FBI », PaperGeek,‎ (lire en ligne)
  23. a, b, c, d et e « Cyberattaque : les hôpitaux français sont-ils bien protégés ? », Franceinfo,‎ (lire en ligne)
  24. RTL Newmedia, « Une attaque informatique massive frappe le monde entier : qu'est-ce que ce piratage appelé WannaCry et que fait Microsoft pour le contrer ? », RTL Info,‎ (lire en ligne)
  25. a, b, c et d « WannaCry : le ransomware qui n'a plus besoin du phishing », Silicon,‎ (lire en ligne).
  26. « Adresse Bitcoin 13AM4VW2dhxYgXeQepoHkHSQuy6NgaEb94 », sur blockchain.info (consulté le 19 mai 2017)
  27. « Adresse Bitcoin 12t9YDPgwueZ9NyMgw519p7AA8isjr6SMw », sur blockchain.info (consulté le 19 mai 2017)
  28. « Adresse Bitcoin 115p7UMMngoj1pMvkpHijcRdfJNXj6LrLn », sur blockchain.info (consulté le 19 mai 2017)
  29. « morb (@m0rb) | Twitter », sur twitter.com (consulté le 15 mai 2017).
  30. a et b « Cyberattaque : réaction de Microsoft à WannaCry | Direction Informatique - Actualités », sur www.directioninformatique.com (consulté le 15 mai 2017).
  31. « WannaCry : les agences de renseignement sur la sellette », lesechos.fr,‎ (lire en ligne)
  32. « https://lanouvelletribune.info/2017/05/wannacry-lappel-de-microsoft-agences-de-renseignement/ »(Archive • Wikiwix • Archive.is • Google • Que faire ?) (consulté le 8 juillet 2017).
  33. « Cyberattaque - Wannacry : L'appel de Microsoft aux agences de renseignement », La Nouvelle Tribune,‎ (lire en ligne)
  34. « Le « rançongiciel » Wannacry a peu touché la Suisse », Le Temps,‎ (lire en ligne).
  35. Une nouvelle cyberattaque de grande ampleur en cours.
  36. Site du Figaro, page sur la cyberattaque.
  37. « WannaCry : une attaque de la Corée du Nord ? », sur Clubic,
  38. (en) « Flashpoint experts believe WannaCry authors speak Chinese after a linguistic analysis », sur Security Affairs, (consulté le 9 juin 2017)
  39. « gentilkiwi/wanakiwi: Automated wanadecrypt with key recovery if lucky », GitHub (consulté le 20 mai 2017)
  40. a et b 01net, « WannaCry : une parade trouvée… grâce à une lacune de Windows », 01net,‎ (lire en ligne)
  41. « Cyberattaque : trois Français ont créé un logiciel anti WannaCry », leparisien.fr,‎ (lire en ligne)
  42. indrajeetb, « A simple tool to Protect yourself from WannaCry Ransomware » (consulté le 22 mai 2017)
  43. SysStreaming, « A very simple and free tool to detect WannaCry/WannaPatch flaw and patch the systems, if the flaw is detected »(Archive • Wikiwix • Archive.is • Google • Que faire ?) (consulté le 22 mai 2017)

Voir aussi

Liens externes

  • Carte du monde des détections en temps réel du virus
  • Bulletin de sécurité Microsoft MS17-010 détaillant les logiciels concernés et indices de gravité de la vulnérabilité
  • Catalogue des mises à jour pour Microsoft Windows concernant la vulnérabilité MS17-010
  • La radio France Culture consacre le 16/05/2017 une table ronde (2 × 20 min) avec plusieurs experts (dont Daniel Glazman) : partie 1/2, partie 2/2.

Articles connexes