Le week-end dernier, WannaCry, une cyberattaque massive à base de rançongiciel, a infecté 200 000 ordinateurs dans au moins 150 pays. Selon l'expert en sécurité Inti De Ceukelaire, le pire a été évité de justesse. « J'ai particulièrement peur des imitateurs qui pourraient affiner cette attaque », met-il en garde.
Je veux pleurer : c'est l'une des plus grandes attaques de rançongiciel jamais vues. Les cybercriminels visaient principalement entreprises et institutions. Parmi les victimes : des hôpitaux du National Health Service à Londres et dans le nord de l'Angleterre. Les responsables ont demandé aux patients de ne se présenter qu'en cas d'urgence. Aujourd'hui, la propagation du virus a stoppé, mais les experts alertent sur un risque de nouvelle vague.
L'identité des auteurs reste inconnue. Initialement suspectés : les Shadow Brokers. Hier, un expert Google a lié l'attaque au groupe nord-coréen Lazarus.
Les pirates ont exploité une méthode éprouvée. Inti De Ceukelaire, hacker éthique, décrypte le fonctionnement.
Les rançongiciels chiffrent fichiers, photos et données, les rendant illisibles. Seul le paiement d'une rançon en Bitcoin les débloque. Le malware pénètre souvent via phishing : un lien malveillant dans un e-mail ou sur un site.
Inti De Ceukelaire : « L'infection peut aussi survenir via des ports SMB (Server Message Block) exposés sur Internet. WannaCry a principalement utilisé cette voie. »
« Sa particularité : l'exploitation de la vulnérabilité EternalBlue pour une propagation ultra-rapide d'un PC infecté à un autre. Elle touche tous les Windows non patchés. Dans un réseau d'entreprise, l'infection se propage en un clin d'œil. Le virus scanne aussi des IP aléatoires, au-delà des réseaux locaux. »
De Ceukelaire : « La NSA connaissait cette vulnérabilité depuis longtemps. Possible taupe ou piratage de leur base. Les hackers pros préfèrent souvent trouver leurs propres failles pour maximiser l'impact. Ici, Microsoft avait publié un patch il y a deux mois. Les entreprises à jour étaient protégées. Une faille inconnue aurait paralysé le monde : imaginez l'ordre "n'allumez pas vos PC" ! »
De Ceukelaire : « La faille permet d'exécuter du code distant. Une technique courante est le débordement de tampon : surchargez un buffer mémoire pour injecter et exécuter votre code malveillant. »
De Ceukelaire : « Ça aurait pu être pire. Un Britannique a activé un "kill switch" qui a stoppé le chiffrement. Les auteurs n'ont gagné que 65 000 $. En 2013, Lazarus a causé plus de dégâts en Corée du Sud. Prions pour que les imitateurs ne perfectionnent pas WannaCry. » []
