WannaCry, un virus en dormance ?
22 mai 2017
Faisons le point, plus d'une semaine après l’attaque de WannaCry

Si vous êtes le moindrement branché, vous avez certainement entendu parlé du rançongiciel (ransomware) surnommé WannaCry qui s’est propagé mondialement dans la journée de vendredi le 12 mai. Ce virus bloque votre ordinateur, empêchant tout accès à vos données, et demande un montant pouvant monter jusqu’à 600 USD afin de vous rendre vos informations. Après une semaine, si aucun paiement n’est envoyé, le message stipule que les fichiers piratés seront effacés.

Le virus utilise une faille des systèmes d’exploitation Windows détecté par la NSA (National Security Agency, un organisme de sécurité gouvernemental étasunien). Cette faille fut rendue publique par la mise en ligne de dossiers de la NSA qui furent piratés par le groupe de hackers ShadowBrokers. Plus précisément, WannaCry s’attaque aux versions antérieures à Windows 10, qui ne bénéficient plus de mise à jour de sécurité quotidienne et se retrouvaient susceptibles d’être attaquées. Un patch de sécurité fut distribué, mais trop tard dans de nombreux cas. Les ordinateurs ayant le système d’exploitation Windows 10 ont été, pour leur part, fixé en mars — soit deux mois avant l’attaque. De nombreux experts dénoncent l’utilisation de ces systèmes d’exploitation périmés, qui ne peuvent se protéger adéquatement des attaques de virus, par les grandes compagnies.

En date de samedi soir 20 mai, le montant total payé au niveau mondial approche les 100 000 USD, assez peu considérant le nombre important d’ordinateurs infectés — plus de 200 000 à travers le monde, dont le service public de santé britannique (NHS), les entreprises FedEx et Renault. L’Université de Montréal a été victime de la cyberattaque, avec un total de 120 ordinateurs infectés sur 8 300 disponibles. Les autres universités montréalaises ne présenteraient pour l’instant pas de trace du virus.

L’expansion du virus s’est toutefois ralentie presque miraculeusement, grâce aux efforts du programmeur MalwareTech qui, pour quelques dollars, acheta le domaine dont se servait le rançongiciel. Pour simplifier, WannaCry, comme de nombreux virus, se connecte à un domaine (un domaine renvoie au nom utilisé comme adresse d’un ensemble de serveurs; il est plus simple à retenir qu’une adresse IP) lors de sa mise en marche pour s’assurer de ne pas se trouver dans un sandbox. Le sandbox est un espace contrôlé par des antivirus qui peut faire fonctionner des programmes en huis clos. En analysant leurs réactions, les antivirus peuvent détecter la présence de programmes malicieux. Si la connexion ne réussit pas, le virus s’active et commence l’encryptage. Toutefois, et comparativement à la plupart des virus informatiques, WannaCry se connectait à un domaine précis plutôt qu’aléatoire. Il a donc suffit à MalwareTech d’acheter le domaine pour que WannaCry cesse de se propager.

Voici l’état des choses en début de semaine passée. Qu’en est-il depuis?

De nombreux sites de nouvelles ont fait état d’un possible lien avec la Corée du Nord, lien par ailleurs démenti par l’ambassadeur nord-coréen Kim In Ryoung lors d’une conférence de presse au siège de l’ONU à New York. Les experts en informatique suspectent un groupe de hackers de ce pays suite à la découverte d’une ligne de code singulière partagée par une version antérieure de WannaCry et par un autre programme associé au groupe connu sous le nom de Lazarus. Il semblerait opérer de la Corée du Nord.

Un groupe d’informaticiens français auraient aussi trouvé un moyen de débloquer les fichiers encryptés, dans une moindre mesure. Leurs efforts ont abouti à un outil de décryptage, nommé Wanakiwi, qui réussit effectivement à débloquer les fichiers sous des conditions bien précises. Ce processus n’est donc pas universel, car il implique de ne pas avoir redémarré votre ordinateur après l’attaque et d’appliquer la mise à jour de sécurité avant que les dossiers ne soient encryptés de manière permanente. Il s’agit donc d’une panacée aux pouvoirs limités.

Des hackers essaient de faire revivre le virus en s’attaquant au domaine acheté par MalwareTech, ayant arrêté WannaCry en premier lieu. Pour ce faire, les hackers utilisent des copies du virus Mirai, qui a fait son apparition en septembre dernier, pour congestionner le domaine jusqu’à ce que celui-ci crash. Mirai est un botnet, c’est-à-dire un virus capable de contrôler des machines quelconques (caméras et modems, notamment) et de leur faire envoyer des requêtes sur un domaine précis. Le but d’une telle opération: faire planter le domaine en le surchargeant de requêtes, causant la panne de celui-ci. Dans l’éventualité d’une telle situation, le virus pourrait reprendre du service et recommencer sa propagation. Pour l’instant, ces efforts n’ont pas porté fruit.

 
Sur le même sujet: