Kurt Berghs

Les auteurs de la cyber-attaque Wannacry ont commis de stupides erreurs

Kurt Berghs Sales et Product Manager AXS GUARD chez VASCO Data Security.

Vendredi dernier, une cyber-attaque incluant le rançongiciel (ransomware) Wannacry a fait plus de 200.000 victimes dans 150 pays. Les médias pointent un doigt accusateur vers The Lazarus Group, un collectif de créateurs de virus. Personnellement, j’en doute.

La semaine passée, une cyber-attaque basée sur le ver rançongiciel Wannacry faisait plus de 200.000 victimes dans 150 pays. Des hôpitaux et des usines notamment ont été touchés. On n’avait encore jamais vu un maliciel de ce genre se propager aussi rapidement. Les médias pointent un doigt accusateur en direction de The Lazarus Group, un collectif de créateurs de virus. Mais j’en doute car les auteurs du script ont commis des erreurs de débutant que The Lazarus Group ne ferait jamais. Qui plus est, c’est un vrai miracle qu’il y ait eu autant d’ordinateurs contaminés… Comme souvent, cela est dû au laxisme des entreprises et des internautes trop naïfs.

Lazarus Group: les exemples ne manquent pas

The Lazarus Group a acquis une réputation notoire dans le monde du cyber-crime avec divers fameux faits d’armes tels le cyber-espionnage du gouvernement sud-coréen ou une intrusion dans la banque centrale du Bangladesh, où il avait mis la main sur 73 millions d’euros (!). Pas rien donc. Je doute donc que ce collectif de pirates expérimenté fasse des fautes de débutant telles celles qui ont été commises à quasiment chaque niveau du processus WannaCry.

Erreur de timing?

Pourquoi WannaCry s’est-il par exemple propagé un vendredi midi et pas un lundi matin? Un lundi matin, l’impact aurait été nettement plus grand. Il y aurait eu beaucoup plus de gens au travail, et les professionnels de l’IT n’auraient pas disposé de tout un week-end pour colmater les brèches. Il n’est quasiment pas possible pour des pirates de choisir pire moment qu’un vendredi midi, à moins que le virus se soit peut-être diffusé par mégarde trop rapidement!

Pourquoi donc intégrer un ‘kill switch’ dans un virus?

Un virus muni d’un… frein d’urgence?

Il convient d’ajouter que Wannacry a été contré quasiment par hasard. Un expert en sécurité britannique de MalwareTech a observé que le virus tentait d’établir une connexion avec un site web non enregistré. Dès que la connexion était établie, le rançongiciel s’interrompit, et les fichiers sur les ordinateurs contaminés ne furent pas pris en otage. Comme le nom de domaine en question semblait ne pas être enregistré, MalwareTech a pu l’acquérir et après son enregistrement, le ‘kill-switch’ de Wannacry s’activa comme par miracle. Le Britannique ne s’attendait lui-même pas à ce que cela soit aussi simple. Une douloureuse bévue de la part des pirates. Le fait qu’un ‘kill switch’, alias un frein d’urgence soit intégré au virus, fait également penser que ce dernier était encore en phase de développement et s’est donc propagé de manière trop précoce. Pourquoi donc intégrer un ‘kill switch’ dans un virus?

Suivez la monnaie

Pour ce qui est du trajet de la rançon demandée, les hackers ont également commis quelques bourdes étonnantes. La victime devait payer directement les hackers au moyen de la monnaie numérique Bitcoin. Bitcoin est certes anonyme, mais tient cependant à jour les transactions. Voilà pourquoi il est relativement facile de savoir combien les agresseurs ont empoché. Et c’est de la petite bière en comparaison avec toute l’attention médiatique dont le virus a fait l’objet, et avec les actions entreprises dans le passé par The Lazarus Group. Même pas cent mille dollars.

Les criminels n’ont même pas réglé leur service ‘après vente’.

De plus, les criminels n’ont même pas réglé correctement leur service ‘après vente’. Au lieu d’associer une adresse bitcoin à chaque victime, les auteurs de WannaCry ont intégré quelques adresses générales à leur code. Il en est résulté que les ordinateurs des victimes ayant versé la rançon exigée ont dû être déverrouillés manuellement. Quelle foire! Pire encore: avec ces quelques adresses fixes, l’anonymat est moins facile à conserver.

Autre erreur de débutant: les noms d’utilisateur Windows figuraient dans le code Coinvault. Le prénom et le nom de l’un des suspects étaient même soigneusement mentionnés.

Sursis?

Je ne pointerais donc pas trop tôt un doigt accusateur en direction de The Lazarus Group. Je soupçonne plutôt un collectif de pirates qui a procédé à du copier-coller de virus précédents. En fin de compte, WannaCry, c’est du pur amateurisme. Et le fait qu’un grand nombre d’ordinateurs ait été quand même infecté, indique que beaucoup d’organisations n’appliquent pas une politique de mises à jour correcte… Faut-il y voir un report d’exécution? Il ne faudra en tout cas pas attendre longtemps, avant qu’une variante WannaCry fasse son apparition, qui ne sera, elle, pas contrée par un simple ‘kill-switch’. Les hackers tirent des leçons de leurs erreurs, et l’utilisateur moyen d’un ordinateur alors?

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire