Wannacry:  un ransomware dérivé d’un logiciel de la NSA passe à l’attaque… massive

Publié: 13 mai 2017 dans Informatique et IA, Non classé
Tags:, , , , , ,

cry0

Vous avez peut-être suivi il y a quelques semaines la divulgation d’informations confidentielles de la NSA par le groupe TheShadowBrokers, dont l’objectif était de crier leur insatisfaction dans le contexte de la présidence de Donald Trump. Oh, pas pour protester contre les différents décrets, mais pour manifester leur colère… Le Donald aurait en effet « abandonné sa base », et les aurait déçus de ne pas en faire assez. Pour protester notamment contre l’éviction de Steve Bannon du Conseil de Sécurité, ou encore pour manifester contre l’attaque en Syrie en représailles à l’utilisation d’armes chimiques, ces petits génies ( !) ont décidé d’offrir au monde les nouveaux outils de surveillance de la NSA.

cry7

Pour ce faire, ils ont hacké des systèmes utilisés par Equation, un groupe lié à la cellule TAO de la NSA : TAO pour Tailored Access Operations. Un euphémisme pour un service dont le métier est d’infiltrer, de renseigner, de hacker, donc, les systèmes informatiques potentiellement utilisables contre les Etats-Unis (ce qui en soi, n’est pas un critère très limitatif).

Ce faisant, la boite de Pandore s’est non seulement ouverte, mais a allégrement déversé un flot de potentielles menaces ; en divulguant les techniques de prise de contrôle et de piratage utilisées par la NSA, ils ont ainsi pu gentiment expliquer à tous les gentils pirates en puissance comment faire pour hacker n’importe quelle machine. Bon, compte tenu de l’anglais des hackers de Shadow Brokers, plane l’ombre de certains pays. Un sujet d’actualité. Même si l’on pense que la motivation initiale du groupe était plutôt financière, la divulgation publique des outils de la NSA ayant été précédée d’enchères infructueuses.

Dernière conséquence en date : le « ver » WannaCry. Rappelons qu’un ver informatique (worm en anglais) est un programme autonome souvent nocif, capable de s’auto-reproduire en utilisant les mécanismes et protocoles réseau. En l’occurrence, il s’agit d’un « ransomware » dont le principe est simple : soit vous payez, soit vos fichiers sont cryptés et inutilisables à jamais.

Ce programme, baptisé WannaCry, ou Wanna, ou encore Wcry, aurait infecté environ 60 000 ordinateurs aujourd’hui. Bizarrement, c’est la Russie qui est la plus touchée, comme le montre le tableau ci-dessous.

cry1

Mais le souci, c’est que les principales machines infectées le sont dans de grandes organisations : des banques (BBVA, Santander), des hopitaux (l’hôpital anglais Victoria de Blackpool), des services de communication… Des sociétés comme FedeX ou les opérateurs espagnols Telefonica ou Vodafone Espana sont massivement touchées (plus de 85% des ordinateurs de Telefonica !). Tout comme (et c’est très inquiétant) Iberdrola, un fournisseur d’énergie espagnol. Et la liste n’est pas exhaustive.

cry6

Wcry ne fait pas uniquement que crypter : il utilise aussi une « arme informatique » nommée EternalBlue, développée par la NSA pour prendre le contrôle d’ordinateurs Windows à distance. Le ver Wcry se transmet ainsi de machine en machine, sans avoir besoin que l’utilisateur ouvre un mail ou un fichier.

Les auteurs du ver Wcry ont émis un ultimatum : Une rançon de 300 à 600 euros en équivalent bitcoins doit être payée pour chaque PC infecté avant le 15 mai (ou en dernier recours avant le 19 mai mais c’est plus cher). Faute de quoi, l’ordinateur restera inutilisable à jamais. Rappelons pour mémoire qu’au moment où vous lisez ces lignes, le bitcoin vaut environ 1540 EUR. Donc moins de 1 bitcoin par ordinateur, mais il faut multiplier par le nombre d’infections.

cry4

Ce qui est dommage, c’est que Microsoft avait émis un patch pour éliminer la vulnérabilité exploitée par Eternalblue en mars 2017, comme le montre le bulletin ci-dessous.

cry2

Tout ceci montre une certaine frénésie aujourd’hui autour des ransomwares, et les conséquences exponentielles d’une divulgation (et franchement, bravo à Equation, pour des guerriers du cyberespace, le fait de se faire voler des informations, c’est comme se faire dérober du plutonium quand on construit des armes nucléaires). Comme le montre la carte ci-dessous, l’effet est immédiatement international.

cry3

Cela montre également, s’il en était besoin, l’extrême vulnérabilité de certaines de nos infrastructures. Même si la France n’est pas touchée aujourd’hui, attention à tous nos réseaux et nos automates industriels de contrôle (les SCADA). Car la prise en otage d’une centrale nucléaire ou d’un réseau de transport d’électricité, ce n’est hélas plus aujourd’hui de l’ordre de la science-fiction.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s