Cyberattaque : Plus de 200 000 ordinateurs inféctés par le virus WannaCry.

Des erreurs humaines et techniques ont permis aux cybercriminels à l’origine du virus informatique WannaCry de commettre leur méfait sans obstacle.

La longue liste de victimes du virus WannaCry ne cesse de s’allonger. Lundi 15 mai, la Chine a révélé que 29 000 organisations – dont des hôpitaux, des distributeurs automatiques de billets et des sociétés privées – avaient été frappées par ce logiciel malveillant qui prend les ordinateurs en otage et ne relâchera les données devenues inaccessibles qu’en échange d’une rançon payé aux cybercriminels. En France, “moins d’une dizaine d’entreprises” ont fait savoir à l’Anssi (le bras cyber de l’État) avoir été touchées.

En tout, plus de 200 000 ordinateurs dans 150 pays ont été infectés par ce “ransomware” ou rançongiciel (logiciel qui bloque l’accès aux fichiers d’un poste informatique), d’après une estimation d’Europol, l’agence de police européenne, établie dimanche 14 mai. Tout ça pour un butin finalement estimé à 26 000 dollars.

Qualifiée de massive et sans précédent, cette cyberattaque n’a, pourtant, pu réussir qu’à cause d’une succession d’erreurs à même de faire rougir de honte n’importe quel expert en sécurité informatique.

La NSA maladroite. WannaCry n’aurait pas pu faire autant de dégâts si l’Agence nationale de sécurité américaine (la NSA) avait davantage fait attention aux cyberarmes qui lui ont été subtilisées. “La seule spécificité de ce ‘ransomware’ par rapport aux autres est son mode de propagation, qui utilise une faille informatique connue, jusqu’à récemment, uniquement par la NSA”, explique Gérôme Billois, expert en cybersécurité au cabinet Wave Stone, contacté par France 24. En août 2016, ce petit secret qui permettait à la NSA d’espionner en toute tranquillité s’est retrouvé entre les mains d’un groupe de cybercriminels.

Des cybercriminels frustrés. Le groupe de pirates informatiques Shadow Brokers a tout d’abord essayé de vendre son butin sur le marché noir. Mais il n’a pu trouver acheteur et s’est décidé de rendre l’ensemble des documents publics en plusieurs fois entre la fin 2016 et avril 2017. Une décision jugée irresponsable par nombre d’experts en sécurité informatique, qui ont alors alerté sur le danger de ces outils placé entre de mauvaises mains.

Des entreprises lentes à réagir. Microsoft croyait avoir fait le plus dur. Le géant du logiciel avait sorti, en mars, un correctif pour rendre Windows invulnérable à des attaques essayant d’exploiter les failles découvertes par la NSA. Mais près de deux mois plus tard, près d’1,3 millions d’ordinateurs dans le monde n’étaient toujours pas protégés contre cette menace, d’après les estimations du service britannique du renseignement.

Les responsables des services de sécurité informatique des entreprises ont rapidement été pointés du doigt dans cette affaire. “Ces personnes devraient même être poursuivies au pénal si leur négligence – le correctif existe depuis plus de six semaines – aurait pu causer des morts comme dans le cas des hôpitaux publics britanniques”, s’est ainsi indigné Neil Schwartzman, directeur du CAUCE, une association de lutte contre le spam.

Mais le coupable est peut-être trop parfait. “Certaines organisations achètent parfois du matériel informatique en gros et le fournisseur leur promet en échange un suivi technique avec un service de maintenance informatique”, rappelle Gérôme Billois. Il souligne que certains contrats interdisent à l’entreprise d’effectuer elle-même une quelconque mise à jour de sécurité qui doit être menée par le prestataire de service. “Il suffit que ce dernier ait fait faillite entre temps ou qu’il n’assure pas un suivi très scrupuleux, pour que tout le parc informatique se retrouve à la merci d’un virus comme WannaCry”, estime cet expert.

Des utilisateurs qui cliquent sur n’importe quoi ? Et en bout de chaîne, il y a toujours l’individu qui a ouvert la mauvaise pièce jointe ou cliqué sur le lien qu’il ne fallait pas suivre. L’écrasante majorité des experts du secteur répètent à longueur de journée que l’humain est le maillon faible.

Une thèse qui a aussi été brandie à l’occasion de l’épidémie de WannaCry. Des sociétés en sécurité informatique, comme Symantec, ont appelé à redoubler d’attention pour éviter d’ouvrir une nouvelle boîte de pandore à la place d’une simple pièce jointe lorsqu’on reçoit un email.

Mais trois jours après le début de la panique actuelle et malgré l’implication d’enquêteurs de plusieurs pays, “personne n’a encore réussi à trouver le patient zéro”, note Gérôme Billois. Pour lui, les pirates informatiques ont pu directement installer le virus sur plusieurs ordinateurs vulnérables grâce à la faille de sécurité découverte par la NSA et ensuite regarder comment leur WannaCry s’est répandu, sautant d’un PC à l’autre.

Un “enchaînement étonnant de circonstances et d’erreurs”, selon Gérôme Billois, qui aurait pu avoir des conséquences encore bien pires. La version du virus qui a circulé ce week-end a été rendu inefficace par un jeune chercheur britannique en sécurité informatique, qui a trouvé “par hasard” un moyen de neutraliser WannaCry. Nombreux sont ceux qui craignent qu’une nouvelle mouture de ce virus, sans cette option d’arrêt d’urgence, commence à circuler cette semaine.

Un chercheur britannique de 22 ans freine la propagation du virus

Un jeune chercheur en cybersécurité basé au Royaume-Uni a expliqué samedi comment il a réussi à freiner la propagation du virus Wannacry, responsable d’une cyberattaque «sans précédent» à l’échelle mondiale. Tweetant à partir de @Malwaretechblog, le chercheur a expliqué à l’AFP avoir trouvé une parade au logiciel malveillant en trouvant et achetant un nom de domaine pour quelques dollars. Sur Twitter, il a avoué qu’il ne savait pas, au moment d’enregistrer le domaine, que la manoeuvre suffisait à arrêter le virus et que son action était donc «accidentelle au départ». Mais il a été chaudement félicité sur les forums spécialisés et son blog a été publié sur le site internet du National Cyber Security Centre (NCSC), le centre britannique de cyber-sécurité. Le NCSC a affirmé à l’AFP que «MalwareTech» était une «organisation privée» et que le «héros» du jour n’était pas l’un de leurs employés mais qu’ils pouvaient avoir recours à son expertise.

 

Source : France24.fr et Lefigaro.fr 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *