Le week-end dernier, WannaCry , une cyberattaque utilisant un rançongiciel, 200 000 ordinateurs dans au moins 150 pays. Selon le hacker éthique Inti De Ceukelaire, le pire nous a été épargné. "J'ai particulièrement peur des imitateurs qui affinent le hack.”
Je veux pleurer est l'une des plus grandes attaques de rançongiciels jamais réalisées. Les cybercriminels ciblaient principalement les entreprises et les institutions. Parmi les victimes figurent des hôpitaux du National Health Service à Londres et dans d'autres régions du nord de l'Angleterre. Les porte-parole des hôpitaux ont appelé les patients à ne s'inscrire que dans les cas essentiels. Aujourd'hui, le virus a cessé de se propager. Bien que le danger ne soit pas encore complètement écarté :les experts mettent en garde contre une nouvelle vague d'infections.
On ne sait pas encore qui est derrière le virus. Initialement, les signaux pointaient vers un collectif de hackers que les Shadow Brokers appels. Hier soir, un expert en sécurité de Google a découvert un lien vers le tristement célèbre groupe nord-coréen Lazarus.
Dans tous les cas, les auteurs ont suivi une méthode éprouvée. Comment ont-ils fonctionné ? Le hacker éthique Inti De Ceukelaire clarifie.
Les attaques de ransomwares ne sont pas nouvelles. Ils rendent illisibles les fichiers, photos et autres données de votre disque dur. Ce n'est que si vous payez une rançon - souvent en Bitcoin - que l'auteur rend les données à nouveau disponibles. Le virus qui crypte vos données peut entrer dans votre ordinateur de plusieurs manières. La forme la plus courante est l'hameçonnage :vous cliquez dans un email ou sur un site internet sur un lien qui vous dirige vers le logiciel infecté.
Inti De Ceukelaire : Votre ordinateur peut également être infecté par certains ports (Server Message Blocks ou PME) ouvertes à Internet. Le virus WannaCrypt semble être entré principalement par cette voie.'
« La particularité de cette attaque est que les pirates ont utilisé une vulnérabilité pour propager le virus plus rapidement d'un PC infecté à un autre non encore infecté. Cette fuite, EternalBlue, se trouve sur tous les appareils Windows qui ne sont pas complètement à jour. Si un ordinateur du réseau de votre entreprise est infecté, les autres le seront aussi en un rien de temps. De plus, le virus analyse les adresses IP aléatoires. Les victimes ne doivent donc pas nécessairement appartenir à un réseau local.'
De Ceukelaire :« C'est de la spéculation. Ce qui est certain, c'est que la National Security Agency (NSA) américaine savait depuis longtemps qu'EternalBlue existait, et qu'elle était vulnérable. Il se peut donc qu'il y ait une taupe au sein de la NSA, ou que les pirates derrière WannaCry ont pu pénétrer eux-mêmes dans la base de données de la NSA."
"D'un autre côté, les pirates expérimentés savent qu'ils peuvent causer beaucoup plus de dégâts s'ils trouvent eux-mêmes une fuite. Dans le cas de WannaCry Microsoft était prêt :la société a pu déployer il y a deux mois une mise à jour qui rend la fuite inoffensive. Les entreprises qui avaient mis en œuvre cette mise à jour en temps opportun n'ont plus rien ressenti de l'attaque. Si les pirates avaient frappé de manière totalement inattendue par une nouvelle fuite, Microsoft aurait dû commencer à rechercher la fuite. Une mise à jour avec un correctif de récupération serait alors arrivée bien trop tard. Le meilleur conseil que vous puissiez donner aux gens dans un tel scénario est :n'allumez pas votre ordinateur. Imaginez quel effet cela aurait sur l'économie mondiale. »
De Ceukelaire :« La fuite vous permet d'exécuter votre propre code sur l'ordinateur infecté. Il y a plusieurs façons de le faire, et je ne sais pas comment les pirates ont fait ici. Vous pourriez le faire avec un soi-disant débordement de tampon † Pour faire simple :chaque ordinateur écrit certaines données en mémoire. Cette mémoire peut réserver un emplacement de deux cents caractères pour, disons, un nom. Si vous, en tant que pirate informatique, parvenez à injecter plus de deux cents caractères dans cet emplacement, vous créez un tel tampon débordement † Avec les autres caractères, vous écrasez d'autres emplacements de mémoire auxquels un programme veut toujours accéder. Si vous référencez votre propre code dans ces emplacements, vous pouvez forcer le programme à exécuter ce code. En d'autres termes :vous faites croire au système que votre code fait partie d'un programme.'
De Ceukelaire :« Cela aurait pu être bien pire. Un Britannique a découvert que les pirates avaient construit un arrêt d'urgence qui arrêtait le cryptage des données sur l'ordinateur compromis. De plus, les Shadow Brokers ou le groupe Lazarus n'ont "que" levé 65 000 $. En 2013, des pirates ont réussi à paralyser plusieurs chaînes de télévision et banques en Corée du Sud. Les conséquences financières en furent bien plus importantes. Espérons juste que les imitateurs ne peut pas trouver un moyen d'obtenir le WannaCry attaque.'
