WannaCry ? Que se passe-t-il ?

Plusieurs grandes organisations ou entreprises ont signalé simultanément une infection, nommée WannaCry. Comme certains hôpitaux britanniques qui ont dû suspendre leurs interventions chirurgicales, les chaînes de montage de Renault Sandouville ont dû elles être interrompues. Le ransomeware WannaCry a infecté sur 24 heures plus de 100 000 ordinateurs. C’est cette simultanéité, l’étendue géographique et le nombre des victimes qui attire tant l’attention.

Qu’est-ce qu’un ransomware ?

C’est un logiciel malveillant qui, d’une certaine manière, prend en otage les données d’un ordinateur ou d’un réseau d’ordinateurs. Ce programme va donc crypter les données puis demander d’envoyer de l’argent en échange de la clé qui permettra de les récupérer.

Qui est WannaCry?

A la différence d’autres logiciels malveillants, WannaCry attaque en deux étapes. Tout d’abord, c’est un premier programme qui s’installe en ayant pour mission l’infection et la propagation. Dans un second temps, après contamination, c’est le programme crypteur qui est téléchargé sur l’ordinateur.

Autre différence, plus ennuyeuse dans le cas de WannaCry, un système peut être infecté par WannaCry sans rien faire. Alors que dans des cas plus généraux, un utilisateur doit faire une erreur ou une action pour provoquer l’installation d’un virus ou d’un crypteur (par exemple, cliquer sur un lien suspect ou activer une macro Excel ou Word infectée). Les créateurs de WannaCry ont profité d’une faille Windows connue sous le nom de « EternalBlue », qui exploite une vulnérabilité déjà corrigée dans une mise à jour du 14 mars*. Donc, si votre ordinateur installe régulièrement les mises à jour Windows, vous avez très peu de chance d’être infectés.

Après avoir piraté un seul ordinateur, WannaCry va tenter de se répandre sur le réseau local où il trouvera d’autres machines. Cela signifie qu’en infectant un ordinateur, WannaCry peut infecter l’ensemble des ordinateurs du réseau. C’est pourquoi les grandes entreprises ont le plus souffert de l’attaque de WannaCry : plus les ordinateurs sont disponibles sur le réseau, plus les dégâts deviennent importants.

Quel est l’objectif de WannaCry ?

WannaCry va crypter les fichiers de l’ordinateur infecté et les rendre inaccessibles. Le virus va ensuite modifier le fond d’écran du bureau avec une image qui contient des informations sur l’infection et les actions que l’utilisateur doit faire pour récupérer ses données. Les instructions demandent généralement de payer une somme entre 300$ et 600$ en bitcoin, une monnaie virtuelle quasi intraçable. Problème, rien ne prouve que vos données seront alors décryptées et rendues. Vous avez dit cybercriminalité ?

Comment l’attaque a été – pour le moment – arrêtée ?

Par le plus grand des hasards ! Un chercheur anglais en sécurité informatique de 22 ans, connu sous son seul nom de code MalwareTech, a commencé à l’étudier dans l’après-midi de vendredi dernier, sur son temps libre. Il a entendu parler de cette attaque, et s’est mis à enquêter, comme le geek passionné de cybersécurité qu’il est. Grâce à un de ses collègues, il récupère une partie du programme malveillant. En effectuant une procédure de « reverse engineering » qui consiste à étudier un programme pour en déterminer le fonctionnement interne ou la méthode de codage, il remarque que dès que WannaCry est installé sur une nouvelle machine, le logiciel malveillant essaie d’envoyer un message à une adresse Internet non enregistrée ou à un nom de domaine non existant. Il a alors enregistré le domaine interrogé, et a du coup, par inadvertance, paralysé le déploiement du virus sur d’autres machines. Les ordinateurs déjà infectés par le ransomware ne sont pas protégés, mais le système de ransomware a donc cessé – à ce jour – de se répandre.

 

Malgré cette bonne nouvelle, il faut être très prudent : un virus informatique, à l’image d’un virus humain, peut s’adapter et muter. Les prochains jours apporteront très probablement d’autres réponses sur les origines et les conséquences économiques de ce ransomware.

 

*  MAJ de sécurité MS17-010.