Le 'killswitch' qui brillait par son... absence dans Wannacry

19/12/17 à 13:40 - Mise à jour à 13:40

Source: Datanews

2017 fut l'année au cours de laquelle le grand public fit connaissance avec le ransomware (rançongiciel). WannaCry agressa en effet des centaines de milliers d'ordinateurs et mit ainsi directement la sécurité à l'ordre du jour. A l'aide de quelques outils de la NSA. A présent que les choses se sont quelque peu décantées, les chercheurs en sécurité font le point.

Le 'killswitch' qui brillait par son... absence dans Wannacry

L'écran d'avertissement du rançongiciel Wannacry © Fox-IT

Le ransomware existe depuis 2004 déjà, lorsque quelqu'un eut l'idée d'associer un programme de cryptage à du malware et de réclamer de l'argent pour le décryptage. Mais ce n'est que cette année que le concept s'est vraiment imposé. Avec WannaCry. "Ce rançongiciel est parvenu effectivement à infecter de très nombreux ordinateurs", déclare Ondrey Kubovic de l'entreprise de sécurité ESET. "Non seulement parce qu'il contamina les ordinateurs des personnes qui cliquaient sur un mail d'hameçonnage (phishing), mais aussi parce qu'à partir de là, il s'infiltra sur les réseaux professionnels dans leur ensemble." Et la faute en incombe encore à la NSA. Du moins à EternalBlue, l'un des outils de la NSA qui prit la clé des champs en avril 2017 et apparut depuis lors dans toutes sortes de maliciels. C'est ainsi que WannaCry aboutit par exemple sur des foreuses dans des mines et sur des caisses de supermarchés. "Il s'est niché sur des centaines de milliers d'ordinateurs. On se demande bien comment il n'a finalement pas énormément enrichi ses auteurs", fait observer Ondrey.

Cela va de pair avec ce qu'on appelle le 'killswitch' (bouton d'arrêt d'urgence) incorporé à WannaCry. Ou pas, selon Mikko Hypponen de la firme de sécurité F-Secure: "Il n'y avait pas de killswitch dans WannaCry. Ce que les agresseurs avaient bel et bien ajouté, c'était un dispositif anti-émulation." Même si la plupart des messages relatifs à WannaCry faisaient état d'une 'bête' faute, un examen approfondi a démontré ultérieurement que les agresseurs s'étaient montré un rien trop malins", affirme Hypponen. "Nous, entreprises de sécurité, nous assurons aujourd'hui la protection sur base de l'apprentissage machine. Nous apprenons à la machine à dépister le malware en faisant tourner toutes sortes de programmes. C'est ainsi que l'intelligence artificielle apprend à distinguer le bon grain de l'ivraie", explique-t-il. "Mais les auteurs de malware le savent. Ils veulent que nous apprenions à nos machines que leur malware est un bon programme. Il faut qu'il passe et donc, ils ont prévu dans WannaCry un mécanisme de détection d'environnements de type bac à sable." L'idée sous-jacente, c'est que les entreprises de sécurité font tourner le malware dans une simulation et que le programme se comporte correctement dès qu'il se rend compte qu'il se trouve dans ce genre de simulation.

L'URL qui n'en était pas une

Le contrôle de simulation, ou 'killswitch', se composait d'une tentative de prendre contact avec une URL spécifique, selon Hypponen: "Et le truc, c'est que cette URL n'existait pas. Mais nos simulations prennent généralement en compte toutes les URL en créant une page vierge. Donc si le programme prenait contact avec l'URL, il 'pensait' qu'il se trouvait dans une simulation." C'est alors, toujours selon Hypponen, que s'est manifesté le jeune chercheur Marcus Hutchins, qui acheta le domaine pour neuf dollars. Et activa ainsi le 'killswitch'. "WannaCry pensa aussitôt qu'il tournait dans une simulation sur chaque ordinateur où il se trouvait", poursuit Hypponen. "Et l'attaque s'arrêta. Marcus a donc sauvé le monde avec neuf dollars."

Selon Hypponen, le logiciel n'était et de loin pas du travail d'amateur, mais était probablement un piratage d'état. "Nous avons recherché du code ressemblant à celui trouvé dans WannaCry. Et nous avons alors observé qu'une attaque précédente lancée deux ans avant sur les virements bancaires de Swift contenait des fragments de code similaires. Lors de cette attaque, les pirates avaient tenté de dérober un milliard de dollars dans plusieurs banques nationales." L'attaque Swift fut à son tour liée au piratage de Sony Pictures, quelques semaines avant le lancement d'un film dans lequel on voit le leader nord-coréen Kim Jong Un (virtuellement) exploser. "Nous savons à coup sûr que c'était un coup de la Corée du Nord, parce que les services secrets américains avaient à ce moment piraté ce pays. Ils étaient en train d'espionner, lorsque cela est arrivé", affirme Hypponen.

Corée du Nord

En extrapolant, WannaCry serait aussi l'oeuvre de la Corée du Nord. "Cela semble insensé", réagit Hypponen. "Peut-on réellement croire qu'un gouvernement irait jusqu'à vouloir créer du ransomware? Même s'il ne s'agit évidemment pas ici d'un gouvernement normal! Chez Swift, il aurait tenté de voler un milliard de dollars, ce qui représente un quart du budget annuel de la Corée du Nord. Ce pays imprime de la fausse monnaie, appelée super-dollar, sur une presse gouvernementale. Il serait donc logique qu'il soit prêt à créer des chevaux de Troie." Et voilà comment un petit état de 25 millions de personnes majoritairement affamées pourrait mettre le monde IT sens dessus dessous.

Demain: peut-on encore faire confiance aux fournisseurs?

Nos partenaires