Un cheval de Troie de cryptage du nom de « WannaCry » fait rage depuis le 12 mars 2017 et s’attaque aux systèmes Windows à travers le monde, y compris aux infrastructures critiques, même si c’est plutôt par hasard. Que le pillage du trésor numérique de la NSA ait de telles répercussions dans le monde entier est vraiment effrayant, d’autant plus que Microsoft a publié un correctif pour ses systèmes d’exploitation peu de temps après en avoir pris connaissance, bien avant cette vague d’attaques. L’article suivant fait le point sur WannaCry, ses conséquences et les possibilités de protection.
Table des matières
Quelles sont les causes ? Causes de la propagation de WannaCry
Début 2017, la malveillance était encore de mise lorsque le groupe de hackers Shadow Brookers a pillé le coffre-fort numérique de la NSA et publié des exploits de l’équipe Equation Group de la NSA. Parmi ces exploits se trouvait une faille dans le partage de fichiers SMB de Windows, que Microsoft a immédiatement corrigée avec MS17-010 après sa divulgation publique (KB 4013389). C’est là que commence la tragédie, car Microsoft a tout simplement ignoré les systèmes en fin de vie comme Windows XP ou Windows Server 2003, bien que ces systèmes soient encore utilisés dans les entreprises et l’administration publique.
Il ne restait plus qu’à recycler les anciens modules des crypto-chevaux de Troie en les adaptant à la nouvelle faille de sécurité, et le tour était joué : WannaCry, également appelé Wana Decrypt0r 2.0, s’est répandu dans le monde entier depuis le 12 mai 2017. Les attaques se font de manière classique par le biais d’e-mails, mais se propagent également au sein des réseaux infectés.
Le cheval de Troie crypte les fichiers trouvés et les prend en otage. Les données doivent être libérées contre le paiement de 300 dollars américains via des moyens de paiement tels que Bitcon. Securelist a documenté l’infection et le mode opératoire de WannaCry dans un article de blog.
Infection mondiale
Les maîtres chanteurs devraient certainement être plus que surpris par leur propre succès. Des systèmes du monde entier, et pas seulement d’utilisateurs privés, ont été touchés, avec une nette prédominance de la Russie.
En Allemagne, la victime la plus célèbre a été la Deutsche Bahn, dont les panneaux d’affichage affichaient non seulement des retards, mais aussi l’écran de chantage de WannaCry.
Le fait que la propagation – malgré le correctif de Microsoft – ait été si rapide autour du monde est lié à deux facteurs : d’une part, l’insouciance de nombreux administrateurs lors de la distribution des correctifs et, d’autre part, la décision de Microsoft de laisser dans un premier temps les anciens systèmes encore très répandus comme Windows XP sans correctif.
Recul de Microsoft
Alors qu’en Allemagne, l’Office fédéral de la police criminelle a déjà ouvert une enquête à ce sujet et que l’Office fédéral de la sécurité des technologies de l’information (BSI) met en garde contre le ransomware, un utilisateur de Twitter a pu trouver un « bouton d’urgence » dans le code du cheval de Troie et ainsi stopper la poursuite de sa propagation. Il a documenté sa découverte exacte dans un article de blog.
De son côté, Microsoft tente de limiter les dégâts et se voit contraint, en raison de la propagation mondiale, de proposer un correctif pour les systèmes déjà amortis comme Windows XP ou Server 2003.
Accuser les autres ?
Entre-temps, Microsoft est passé à l’offensive et accuse surtout le gouvernement américain d’avoir dissimulé des failles de sécurité connues et de les avoir ensuite volées. Le directeur juridique de Microsoft décrit même le scénario comme si l’armée américaine s’était fait voler certains de ses missiles de croisière « Tomahawk ».
Une analyse montrera peut-être plus tard quels systèmes (d’exploitation) ont été touchés. On soupçonne que ce sont surtout les anciens systèmes XP qui ont été touchés. La question de savoir si Microsoft peut se soustraire à sa responsabilité en mettant fin au support de ces systèmes dès 2014 ne reste pas seulement une question éthique.
Les utilisateurs de Windows 10 devraient au moins se réjouir : l’obligation de mise à jour automatique, souvent critiquée, a permis d’éviter le pire sur de tels systèmes et fait ainsi le jeu de Redmond, précisément avec son argumentation en faveur des mises à jour automatiques.
Protection contre les attaques similaires
La pandémie actuelle de ransomware, qui crypte les fichiers personnels comme les documents, les images ou les vidéos et ne les libère que contre le paiement d’une rançon, est menaçante. Et les bons conseils pour y remédier, si l’on est soi-même concerné, coûtent cher. A moins d’avoir une vraie sauvegarde en main.
Dans notre article « Stratégies de protection contre les chevaux de Troie tels que Locky : la bonne sauvegarde », nous avions déjà décrit en 2016 des stratégies pour une sauvegarde correcte, mais aussi les pièges d’une telle sauvegarde, qui restent d’actualité aujourd’hui.