Un grand merci à la NSA
Ce qui rend WannaCry différent des ransomwares classiques (et par conséquent plus dangereux), c’est sa capacité à proliférer. Traditionnellement, un virus de ce type ne peut infecter qu’une seule machine à la fois, lorsque son propriétaire ouvre un lien qu’il n’aurait jamais dû ouvrir. WannaCry, lui, est capable de se balader de machine en machine lorsque celles-ci sont connectées par un réseau interne – ce qui est le cas d’à peu près toutes les entreprises du monde, des banques, des hôpitaux, des universités, bref, tout ce qui nécessite une interface centralisée.
Là où ça devient réellement intéressant, c’est que les hackers derrière WannaCry ont construit cette fonctionnalité autour d’une faille de Windows, qui concerne tous les systèmes d’exploitation antérieurs à Windows 10. Une faille nommée EternalBlue, connue et exploitée depuis un temps indéfini par la NSA. Mieux : WannaCry déploie également dans votre machine un cheval de Troie appelé DoublePulsar, qui pourrit les copies de récupération automatiques de Windows pour ne vous laisser aucune chance de récupérer vos fichiers.
Comment sait-on tout ça ? Grâce à la fuite massive de documents Vault 7, publiés au compte-gouttes depuis le 7 mars par WikiLeaks en provenance du collectif de pirates The Shadow Brokers, et révélant le 14 avril dernier l’existence d’une sorte de trousse à outils informatiques utilisée par la NSA pour infiltrer tous types de systèmes. L’un d’entre eux : une banque de failles informatiques (“exploits”) détectées par les employés de l’agence et non colmatées par l’entreprise – on appelle cela des “zero-day”. Afin d’acquérir un avantage stratégique, la NSA a donc délibérément caché l’existence de failles aux grandes entreprises concernées pour pouvoir les exploiter à sa guise. Avec le risque qu’un jour, des pirates les découvrent eux aussi et s’en servent pour semer le chaos. Avec WannaCry, c’est exactement ce qu’il vient de se produire.
Sauf que la NSA n’est pas responsable de tout, puisque à la suite des révélations de WikiLeaks, Microsoft a mis à disposition un correctif (“patch”) depuis le 14 mars, et est même allé jusqu’à proposer le correctif pour Windows XP, alors que la version ne bénéficie normalement plus de suivi technique. Théoriquement, donc, tout le monde aurait dû être prémuni. Sauf que dans la vraie vie, la sécurité informatique, tout le monde s’en fout.
À voir aussi sur Konbini
C’est terminé… pour le moment
À cause de l’absence généralisée de réaction – tant de la part du grand public que des entreprises, parfois même gouvernementales – lors des révélations de WikiLeaks, WannaCry a pu proliférer et commettre des dommages à une échelle inédite, avant d’être stoppé par un héros totalement involontaire, un blogueur britannique de 22 ans officiant sous le pseudo de MalwareTech depuis la maison de ses parents. En découvrant un nom de domaine (une adresse de site Internet, en somme) dans le code du virus et en enregistrant ce domaine (moyennant une dizaine d’euros), le chercheur en sécurité à accidentellement activé un “kill switch”, une sorte de bouton OFF du virus, qui stoppe net sa propagation (mais n’annule pas les effets pour ceux déjà contaminés). Résultat : les pirates, quels qu’ils soient, auront récolté à peine 6 000 euros, ce qui est finalement assez ridicule vu l’ampleur de l’attaque et de la panique générée.
Mais la menace WannaCry est loin d’avoir disparu : si des analyses successives identifiaient dès le lendemain de l’attaque la présence des autres kill switchs sous la forme de noms de domaines, une nouvelle vague de contagion était déjà à l’œuvre le 14 mai, avec une version mutante sans kill switch repérée par la firme Kaspersky. Lundi 15 mai, alors que les salariés de milliers d’entreprises rallumaient leurs ordinateurs après le week-end, une nouvelle vague de contagion débutait à l’échelle mondiale. À l’heure où nous écrivons ces lignes, cependant, la seconde vague “meurtrière” attendue n’a pas eu lieu, grâce au travail acharné de plusieurs chercheurs en sécurité et la vigilance des services informatiques des différentes entreprises. Les pirates auront quand même – c’est paradoxal – récolté 42 000 dollars en bitcoin.
Repenser notre rapport à la protection des données
Dès le 13 mai, donc, la contre-attaque s’organisait. En première ligne, le Centre européen du cybercrime (EC3, pour European Cybercrime Center) et sa plateforme No More Ransom, lancée l’année dernière en partenariat avec Intel et Kaspersky pour mettre à disposition des internautes des outils anti-ransomware. Plutôt discrète jusqu’à présent, la plateforme est désormais en pleine lumière, d’autant qu’un responsable d’Europol cité par la BBC a annoncé qu’un outil de déchiffrement des données était en cours d’élaboration. Pour le moment, donc, la situation semble à peu près stable à défaut d’être sous contrôle, même si rien ne permet d’exclure la résurrection du virus dans les heures qui viennent. Après le tsunami, voici venu le temps des leçons.
Avant toute chose, une attaque comme WannaCry doit nous forcer à repenser radicalement notre rapport à la sécurité informatique personnelle. En 2017, nous vivons dans un monde où tout un chacun doit s’y intéresser un minimum, se tenir informé des menaces et agir en conséquence. Dans le cas de WannaCry, nous explique le blogueur Korben, la procédure de protection est simple, et la voici :
- Mettez Windows à jour. Maintenant. Allez, plus vite que ça, hop.
- Profitez-en pour dire adieu à votre Windows XP ou 2000, ce week-end par exemple.
- Installez des outils de protection comme RansomFree, gratuit, qui prévoit une protection anti-WannaCry.
- À l’aide de votre pare-feu, bloquez les ports 445, 139 et 3389
Et désormais, les amis, il va falloir vous y faire : l’époque où vous pestiez contre les ordinateurs quand ça ne marchait pas est révolue.
Le rôle trouble des administrations… et de Microsoft
À l’heure où une partie non négligeable de votre vie est numérisée, la sécurité de vos données privées devrait être une préoccupation majeure. Un truc aussi simple que des sauvegardes régulières de vos fichiers sur un disque dur externe débranché peut littéralement vous sauver la mise. La même critique s’applique aux politiques de sécurité informatique des entreprises touchées : ne pas mettre à jour son parc informatique à mesure que Microsoft propose des patches, c’est d’une désinvolture absolue, tout comme faire tourner des administrations aussi sensibles que le secteur hospitalier sur des systèmes d’exploitation totalement obsolètes – en Angleterre, le NHS est équipé de Windows XP, dont le support a pris fin en avril… 2014. Les services publics ne doivent plus se trouver dans un tel état d’obsolescence. En France, heureusement, l’Agence nationale pour la sécurité des systèmes informatiques (Anssi) fait le boulot correctement.
D’autre part, le rôle trouble de la NSA et de Microsoft dans cette histoire doit être questionné. Avec sa politique de militarisation des failles informatiques – 90 % du budget de cyber-sécurité américain est consacré à la conception d’outils offensifs -, l’agence de renseignements joue un double jeu : derrière ses belles promesses de lutte contre le piratage, la NSA participe activement au maintien des déséquilibres structurels de programmes utilisés par des millions de gens.
Dimanche 14 mai, l’un des présidents de Microsoft, Brad Smith, s’est fendu d’un post de blog étonnamment agressif pour dénoncer la politique de la NSA, expliquant comment “l’empilement de vulnérabilités par des gouvernements est un tel problème” et comparant les révélations de Shadow Brokers à “l’armée américaine se faisant voler des missiles Tomahawk”. Brad Smith rappelle qu’en février dernier, son entreprise appelait à la création d’une “Convention de Genève” incluant l’obligation pour les gouvernements de communiquer les failles aux entreprises. C’est vite oublier que ce même Microsoft collaborait avec la NSA au sein du programme Prism dévoilé par Edward Snowden, en fournissant généreusement à l’agence ses clés de cryptage Outlook et Hotmail et en modifiant le protocole de chiffrement de Skype pour que les conversations soient interceptables. N’oublions pas, au passage, que l’armée française est sous contrat avec la firme de Redmond, malgré d’évidentes problématiques de sécurité… Et si l’effet le plus néfaste de WannaCry, finalement, était d’exposer au grand jour une vérité finalement plutôt moche, qui voit acteurs étatiques et privés jouer les chevaliers blancs de la vie privée tout en menant leurs petites opérations d’espionnage discrètement, tandis que la population est complètement sourde aux enjeux réels ? Il est temps de repenser la gouvernance numérique, et vite.
