WannaCry, Cyber attaque ou simple négligence ?

Envie de pleurer ?

WannaCry est un "ransomware", ce que l'on peut traduire par rançongiciel ou logiciel de rançon. C'est un programme malveillant qui va chiffrer les données présentes sur un ordinateur (les rendre illisibles sans la clé de déchiffrement) et exigera une somme d’argent (la rançon) avant de vous communiquer la clé de déchiffrement. Ce type de menace existe depuis longtemps puisque le premier cas remonte à 1989. Les victimes se comptent par millions et sont aussi bien des particuliers que des sociétés.

Ce qui est nouveau avec WannaCry c’est l’utilisation d’un exploit (une faille) qui lui permet de se propager de machine en machine de manière totalement autonome. Jusqu'à présent, pour se propager, un ransomware avait besoin de l’intervention d’un utilisateur : il fallait qu’une personne clique sur un lien ou ouvre un fichier pour activer le ransomware !

Dans le cas de WannaCry, nous pouvons presque parler de ransomworm : la mutation d’un vers informatique (worm) avec un ransomware. Ce type de menace nouvelle génération risque de revenir régulièrement, les personnes à l’origine de ces logiciels étant toujours plus créatives !

Pour aller un peu plus loin, voici comment WannaCry a pu voir le jour : en avril dernier, le groupe de pirates "Shadow Brokers" a dérobé puis publié des outils de la NSA qui permettent notamment de prendre le contrôle d’ordinateur à distance. Parmi ces outils, nous en avons un qui exploite une faille appelée Eternal Blue. Et c’est justement elle qui est utilisée par WannaCry.

Les vulnérabilités

Les vulnérabilités sont découvertes dans tous les programmes et sont (enfin, devraient être) corrigées par les différents éditeurs. Si l’on en croit l’organisme Mitre, le top 3 des logiciels tous confondus qui ont eu le plus de vulnérabilités découverte en 2016 sont : Android, Debian et Ubuntu. Nous retrouvons le système d’exploitation Windows 10 seulement en 14ème position (dommage pour les idées reçues !).

Alors pourquoi viser un système d’exploitation qui ne figure pas dans les 10 logiciels les moins sûrs pour lancer une attaque ? Il nous manque un paramètre qui est la popularité des systèmes d’exploitation. Windows est le système le plus installé sur les ordinateurs, il fait donc l’objet de plus d’attaques, car il touche le plus grand nombre d’utilisateurs. Nous retrouvons bien évidemment des ransomwares sur d’autres systèmes, comme MacOs ou encore Android, ces derniers ne sont pas épargnés !

Mais cela fait-il de Windows un système moins sûr que les autres ? Non ! à condition de respecter certains principes, dont l’installation des mises à jour. Comme nous l’avons vu plus haut, les éditeurs publient des correctifs qui permettent de corriger des failles de sécurité. Était-ce le cas pour celle exploitée par le ransomware ?

Et bien oui ! Microsoft a publié le 14 mars (soit 2 mois plus tôt !) un correctif pour combler cette faille. Si nous procédons par chronologie, voici ce que nous obtenons :

- 14 mars publication du correctif de la faille Eternal Blue,
- 25 avril révélation de l’exploit de la faille au travers de la publication de Shadow Brockers,
- 13 mai première détection de WannaCry.

Parmi les vecteurs d’infection, en plus des ordinateurs qui ne sont pas à jours, nous pouvons également compter des systèmes d’exploitation vieux de plus de 10 ans et qui ne sont plus maintenus par Microsoft (comme Windows XP et 2003). Ces systèmes auraient dû être remplacés, mais bon nombre de sociétés les conservent… Pour éviter le pire, Microsoft a publié également des correctifs pour ces systèmes (XP et 2003) , mais plus tardivement.

Malgré ce correctif, le ransomware a réussi à se propager de la façon la plus simple : exploiter les ordinateurs qui ne sont pas à jour ! Dans un monde parfait où tous les patchs sont appliqués, ce ransomware n’aurait eu aucune chance !

Partant de ce constat, devons-nous appeler cet événement une cyber-attaque ou bien un acte de négligence ? Je vous laisse décider !