Tout ce que nous savons sur l’attaque du rançongiciel Wannacry (update)

L'écran d'avertissement du rançongiciel Wannacry © Fox-IT
Els Bellens

Ce dernier week-end, une cyber-attaque basée sur le rançongiciel Wannacry (aussi appelé WannaCrypt) a fait plus de 200.000 victimes au niveau mondial, selon Europol. Mais qu’est ce que Wannacry et d’où vient-il? Voici ce que nous savons à son sujet.

Qu’est ce que Wannacry?

Wannacry est un ransomware (rançongiciel) qui exploite une faille (pourtant récemment corrigée) dans Microsoft Windows pour se propager rapidement via les réseaux internes. Il semble avoir été diffusé par le biais d’une campagne de mailing massive. Une fois l’ordinateur infecté, le virus scanne l’ensemble du réseau interne en vue d’en contaminer d’autres, qui ne doivent même pas être connectés à internet.

Le programme mal intentionné utilisé par Wannacry – Eternalblue SMB – est l’un des outils dévoilés en avril par le groupe de pirates TheShadowBrokers, qui l’avait lui-même dérobé auprès du service de renseignements américain NSA.

Le maliciel SMB et le ransomware qu’il utilise, fonctionnent sur toutes les versions de Windows non encore corrigées par la mise à jour MS17-010 lancée par Microsoft le 14 mars dernier. Windows 10 et Windows Server 2016 sont, eux, protégés par défaut contre la faille.

Le ‘kill switch’

Le fait que Wannacry n’ait pas fait davantage de victimes, est dû à l’intervention d’un chercheur en sécurité du blog MalwareTech, mais aussi à un concours de circonstances. Le malware en question est en effet équipé de ce qu’on appelle un ‘hardcoded kill switch’, à savoir un frein d’urgence capable d’immobiliser tout. Durant son processus, Wannacry tente d’établir une connexion avec un domaine web: www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. S’il y parvient, le processus de cryptage s’interrompt. Le chercheur a en l’occurrence constaté que ce nom de domaine n’avait pas été enregistré par les pirates et a pu l’acquérir pour onze dollars. Après son enregistrement, des milliers de connexions s’établirent par seconde. Pour les gestionnaires de réseaux informatiques, il s’agit donc de ne surtout pas bloquer ce domaine.

L’entreprise de sécurité Fox-IT fait finement observer qu’il s’agit là d’un stupide oubli de la part des pirates au vu de l’ampleur de leur campagne de malware. Tout réceptionnaire du mail d’hameçonnage (‘phishing’) qui ne l’a ouvert qu’après que MalwareTech ait enregistré le nom de domaine, a donc échappé à son impact. Le spécialiste, qui twitte sous l’appellation MalwareTech, explique par ailleurs dans un message qu’il n’avait initialement aucune idée des conséquences qu’allait avoir l’enregistrement du nom de domaine. Le blocage de l’énorme cyber-attaque tient donc en fait du hasard. Le ‘kill-switch’ n’impacte pas les ordinateurs déjà infectés.

Que faire?

Etant donné que le rançongiciel recourt à des maliciels dans d’anciennes versions de Windows, Microsoft conseille aux utilisateurs de systèmes d’exploitation plus anciens que Windows 10 de les actualiser dans les plus brefs délais. L’entreprise a sorti un correctif (patch) pour Windows Vista, 7, 8.1 et 10, ainsi que pour Windows Server 2008, 2016 et 2016. L’update appelée MS17-010 est conçue pour colmater la brèche et fera normalement partie automatiquement des Windows Updates. Pour Windows XP, Microsoft a aussi prévu un ‘patch exceptionnel’ (puisque XP et d’autres systèmes Windows plus anciens ne sont officiellement plus supportés). Des liens vers des correctifs pour Windows Server 2003 et Windows 8 (donc pas le 8.1 normalement supporté) se trouvent ici. Pour tous ceux qui ne peuvent ou ne veulent pas installer de patch, le CCN-CERT, à savoir le service de sécurité national espagnol, a sorti un outil permettant d’enrayer le déploiement de Wannacry. Attention: il ne s’agit pas d’une solution permettant de nettoyer les machines infectées.

Fox-IT, qui a dressé un rapport sur le ransomware, recommande également aux utilisateurs et aux gestionnaires de désactiver le protocole SMBv1 et de bloquer les connexions RDP et SMB d’internet. Il est conseillé de déconnecter les ordinateurs non actualisés d’internet (voire du réseau interne) et comme toujours lorsqu’il est question de rançongiciel, veillez à effectuer de bons backups de vos données importantes.

Du reste, il est bon à savoir qu’une clé d’enregistrement est intégrée au ransomware, qui veille à ce que le malware ne puisse être éliminé par un simple reboot. Il convient donc d’actualiser les ordinateurs touchés.

Deuxième vague

Comme l’attaque a été perpétrée vendredi, Europol craint une nouvelle vague de contaminations ce lundi. Voilà ce qu’a déclaré à ce propos Rom Wainwright, le directeur d’Europol, à la station britannique ITV: ‘Je suis préoccupé en pensant aux personnes qui vont redémarrer leur ordinateur non correctement protégé demain au travail. On pourrait revivre le même affligeant spectacle que celui de vendredi.’ Des chercheurs de Kaspersky Lab ont entre-temps découvert une forme mutante du virus, qui ne peut plus être arrêtée par le ‘kill switch’. Il semble cependant que ce mutant ne se propage pas de la même façon rapide que le Wannacry ‘original’.

Les victimes

La cyber-attaque aurait déjà fait quelque 200.000 victimes dans 150 pays au moins. Des hôpitaux britanniques, des autorités russes, les chemins de fer allemands et des usines françaises du constructeur automobile Renault notamment ont été contaminés. ‘Nous menons chaque année des opérations pour contrer quelque deux cents cyber-attaques, mais nous n’avons encore jamais vécu pareille situation’, explique Rob Wainwright d’Europol à ce sujet.

L’attaque ciblait surtout des entreprises, en témoigne son ‘modèle professionnel‘ de ransomware. Les entreprises disposent en effet plus souvent de données importantes et de plus d’argent pour verser la rançon réclamée par les pirates. Les ordinateurs pris ainsi en otage par le rançongiciel ont été libérés en payant l’équivalent de 300 dollars en bitcoins (275 euros environ). En Belgique, les dommages restent limités jusqu’à nouvel ordre. Le Centre pour la Cyber-sécurité n’a en effet annoncé qu’une seule victime samedi midi.

Un blâme pour la NSA

Le rançongiciel Wannacry exploite une brèche dans le système d’exploitation Windows. Il a été initialement mis au point par le service de renseignements américain NSA. Ce dernier a en d’autres mots passé sous silence la faille permettant d’entrer dans Windows par une porte dérobée. Le ransomware en question avait été dérobé à la NSA par des pirates.

Pour le président de Microsoft, Brad Smith, cela commence à bien faire. ‘Cette attaque est un nouvel exemple des raisons pour lesquelles le stockage de données sensibles par des autorités représente vraiment un gros problème’, écrit-il dans un message sur son blog. ‘C’est là le genre d’opération qui tendra à se répéter toujours plus souvent en 2017. Des exploitations appartenant à des autorités ont assez souvent déjà présenté des fuites dans le domaine public et causé ainsi d’importants dommages’, selon Smith.

Update 16/05: ajout du patch for Windows XP et des systèmes d’exploitation pour lesquels la mise à jour MS 17-010 s’applique.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire