Cyberchaos

Une attaque de rançongiciels sans précédent bloque des centaines de milliers d’ordinateurs

| mise à jour

Une vague de ransomware a bloqué plus de 200’000 PC sous Windows. De nombreuses entreprises sont touchées par le malware qui s’appuie sur un développement de la NSA et exploite une vulnérabilité pourtant patchée depuis deux mois. Explications.

Source: Talos
Source: Talos

Depuis vendredi dernier, plus de 200’000 ordinateurs sous Windows ont été infectés par WannaCry, un ransomware qui chiffre l’intégralité de leurs fichiers et réclame une rançon de 300 dollars pour les débloquer. L’attaque a atteint plus de 150 pays et plus particulièrement l’Inde et la Russie. En Suisse, on dénombrerait actuellement quelque 200 cas, selon Pascal Lamia de MELANI, cité par l’ATS. Les opérations de nombreuses organisations et entreprises ont été fortement perturbées, parmi lesquelles Telefonica, Renault (production interrompue dans l’usine française de Douai), Fedex, Deutsche Bahn, le ministère de l’intérieur russe et plus d’une dizaine d’hôpitaux anglais (interventions annulées ou repoussées).

Plusieurs organismes, dont Europol, cherchent à identifier les auteurs de l’escroquerie, avec toutefois peu de chances de succès. Des hackers qui ont réussi à semer le chaos mais avec peu de gains financiers. Sur trois comptes bitcoin employés par les escocs pour récupérer leurs rançons, on ne dénombre lundi matin que 175 transactions pour un montant total d’environ 45’000 francs.

 

Double mécanisme de propagation

Comme la plupart des ransomware, WannaCry contamine d’abord les ordinateurs via le phishing, avec un e-mail contenant un fichier infecté. Une fois le document ouvert et le malware installé, ce dernier scanne l’ordinateur et chiffre l’ensemble des documents stockés. Une fenêtre demande alors l’utilisateur de payer une rançon de 300 dollars pour pouvoir accéder à nouveau à ses documents. La rançon double si le paiement n’est pas réalisé dans les trois jours et le malware menace de supprimer tous les fichiers après une semaine.

Si le malware s’est propagé si rapidement, c’est aussi et surtout parce que les hackers y ont intégré un autre mécanisme dénommé EternalBlue. Cette vulnérabilité détectée et cachée par la NSA, puis révélée en avril par Shadow Brokers, permet au malware de se propager à d’autres ordinateurs via le protocole SMB, qui permet notamment à plusieurs machines Windows de communiquer avec des systèmes de fichiers via le réseau.

Cette vulnérabilité du protocole SMB a été patchée via la mise à jour de Windows du 14 mars dernier. Depuis vendredi, tous les experts appellent donc les entreprises qui ne l’auraient pas encore fait à rapidement installer cet update. Exceptionnellement, Microsoft a même publié une mise à jour pour éliminer la faille des ordinateurs équipés de Windows XP, quand bien même ce système d’exploitation n’est plus supporté. Plusieurs spécialistes suggèrent par ailleurs aux entreprises de bloquer temporairement le protocole SMB.

 

Répit accidentel et temporaire

Vendredi, la propagation du malware a été freinée accidentellement. Un spécialiste de sécurité IT, connu sous le pseudonyme de MalwareTech. Après une première analyse du malware, ce dernier a identifié que le code effectuait une requête à un nom de domaine improbable. Pensant qu’il s’agissait d’un serveur de contrôle, il a rapidement enregistré le nom de domaine. De manière inattendue, la mesure a provoqué l’arrêt du malware, programmé pour s’arrêter dès lors que ce domaine lui répond. Selon MalwareTech et d’autres experts, ce «kill switch» a peut-être été introduit par les hackers afin de désactiver le malware lorsqu’il est testé dans une sandbox. Depuis la manoeuvre, les requêtes effectuées vers ce domaine permettent de se faire une idée de la propagation du malware.

Reste que ce répit est sans doute de courte durée. En effet, selon beaucoup d’experts, des copies du logiciel malveillant vont apparaître rapidement qui n’intégreront pas ce bouton d’arrêt. Il faut donc s’attendre à de nouvelles vagues d’attaques.

 

Responsabilités multiples

Outre bien sûr les auteurs de l’attaque, la propagation rapide et à large échelle de WannaCry pointe plusieurs responsabiltiés et dysfonctionnements connexes. A commencer par la négligence des entreprises touchées via SMB qui n’ont pas encore installé la mise à jour de sécurité de Windows, deux mois après sa publication. Ou qui sont encore équipées de machines XP qui ne sont plus supportées. Un phénomène inquiétant mais peu surprenant dans le cas des hôpitaux qui disposent souvent d’équipements médicaux tributaires d’applications propriétaires anciennes. L'attaque est aussi un avertissement aux entreprises qui négligeraient de faire des back-up fréquents.

Microsoft doit aussi assumer sa part de responsabilité. Si des entreprises et des particuliers n’appliquent pas les mises à jour de Windows, c’est parce que les procédures manquent de convivialité (redémarrage inopiné de la machine) et que la compatibilité avec l’environnement applicatif existant peut s’avérer très complexe.

Enfin, la NSA mérite d’être blâmée. En préférant tenir secrètes les vulnérabilités qu’elle détecte pour s’en servir, plutôt que d’en avertir les éditeurs et fabricants, l’agence contribue à rendre moins sûr l’informatique dans son ensemble. Une informatique sur laquelle repose toujours davantage les infrastructures critiques des pays. Comme l’explique Brad Smith, Chief Legal Officer de Microsoft: «Cette attaque présente un lien complètement involontaire mais déconcertant entre les deux formes de menaces informatiques les plus dangereuses du monde actuel: l’action des nations et l’action des organisations criminelles».

Tags
Webcode
DPF8_40793