Dès vendredi soir, une large attaque par phishing a provoqué une vague d’infections par un ransomware, WannaCrypt. Exploitant une faille Windows déjà corrigée, sa propagation a forcé Microsoft à publier un correctif pour d'anciennes versions de son OS. Depuis, plusieurs rebondissements ont eu lieu et le danger persiste.
Des dizaines de milliers de machines infectées. C’est la conséquence d’une attaque qui a commencé vendredi par une campagne de phishing, comme souvent dans ce genre de cas. Un lien, un fichier téléchargé et exécuté, et les données des ordinateurs se retrouvaient chiffrées, avec une demande de rançon à la clé. Il infecte ensuite d'autres appareils via SMB, un protocole de partage de fichiers en réseau.
Le ransomware WannaCrypt (ou Wcry, WanaCry, WanaCrypt, Wanna Decryptor, Wana Decrypt0r, WanaCrypt0r) a très rapidement fait parler de lui, notamment en Espagne et au Royaume-Uni où de nombreux hôpitaux ont été touchés. La situation s’est répercutée en quelques heures dans bon nombre de pays, où différents types de structures ont été touchés : opérateur, environnement scolaire, etc. En France, Renault a notamment dû mettre à l’arrêt plusieurs usines. L'ANSSI a rapidement émis une alerte en diffusant ses conseils, mis à jour ce dimanche.
Pour éviter l’infection, un correctif sorti en mars doit avoir été installé. Que les machines soient mises à jour ou non, il est également recommandé de fermer les ports 139 et 445 utilisés par SMBv1, où réside la vulnérabilité. Mais comment en est-on arrivés là ? Revue de détail et discussion avec le chercheur Matthieu Suiche.
Une faille connue, un temps exploitée par la NSA
WannaCrypt est donc un ransomware qui fonctionne comme n’importe quel malware de ce type : s’il a le malheur de s’exécuter, il chiffre toutes les données exploitables trouvées sur la machine puis demande une somme d’argent pour les débloquer, dans le cas présent environ 300 dollars en bitcoin. À peine 64 paiements ont été effectués à l’heure où nous écrivons ces lignes, un compte Twitter les suivant en temps réel.
Mais si les ransomwares sont connus depuis longtemps, pourquoi celui-ci déclencherait-il tout à coup une vague d’infections peu commune ? Parce qu’il exploite une faille de sécurité révélée mi-avril par les pirates de Shadow Brokers, qui en fournissaient les détails dans une archive dérobée à Equation Group, proche de la NSA.
La faille en question, nommée EternalBlue (MS17-010), était exploitable sur toutes les versions de Windows depuis XP, via les ports SMB 139 et 445 (comme DoublePulsar, que WannaCrypt reprend également), soit un nombre très important de machines. Cependant, à la divulgation des détails, on apprenait que Microsoft avait colmaté les brèches en mars, potentiellement sur la base de renseignements fournis par la NSA.
Les Shadow Brokers menaçant de diffuser de telles informations, il est possible que l’agence ait choisi d’atténuer le choc. Problème, seules les versions du système encore supportées ont été mises à jour. Ce n'était donc pas le cas de Windows 8.0 ou des versions antérieures à Vista.
Le cas très spécial de Windows XP
La situation devenant complexe, Microsoft a fini par diffuser un patch pour Windows XP et Server 2003 ce samedi. Même Windows 8 a été mis à jour, alors que seule la mouture 8.1 reçoit normalement les correctifs. En clair, tous les produits hors du cycle ont reçu un patch, ce qui témoigne d’une certaine urgence.
Mais même si certains diront que Microsoft a « pris ses responsabilités », le mal est déjà fait dans de nombreux cas. Un correctif fait surtout office de vaccin préventif : si la faille est déjà exploitée et que le ransomware a chiffré les données, l’installation du patch ne changera rien au problème.
Cela étant, comme nous le verrons plus tard, la mise à jour des parcs informatiques en entreprise ou dans les grandes structures n’obéit pas forcément aux seuls impératifs de sécurité et d’urgence.
Le « kill switch » de WannaCrypt
En à peine 24 heures, le ransomware avait cumulé plus de 75 000 victimes dans une centaine de pays, principalement en Russie, comme indiqué par Kaspersky. Pourtant, un espoir est rapidement apparu.
Samedi après-midi, un chercheur britannique répondant au nom de MalwareTech fait une trouvaille : WannaCrypt émet des appels vers un nom de domaine qui n’a pas été enregistré. Il l’enregistre alors lui-même et découvre dans le ransomware un « kill switch », c’est-à-dire une fonctionnalité d’autodestruction s’il parvient à contacter le fameux domaine. Le logiciel se croit dans une sandbox (espace mémoire isolé), partant du principe que l'adresse n'existe pas dans la réalité, donc préfère s'effacer plutôt que d'être étudié par un chercheur.
Porté aux nues par la presse anglaise, il finit par se décrire lui-même comme un « héros accidentel », relativisant son impact. En effet, et alors que le NHS (National Health System) indique de son côté que 100 000 infections ont ainsi pu être empêchées grâce à cette découverte, MalwareTech prévenait déjà The Guardian que rien n’empêchait l’attaque d’être redémarrée avec d’autres paramètres. Et c’est effectivement ce qui s’est passé.
Par ailleurs – et c’est un point capital – le kill switch ne pouvait rien pour les machines déjà infectées.
Une menace pour l’instant « jugulée »
Actuellement, et d’après le directeur d’Europol Rob Wainwright, plus de 10 000 organisations diverses et 200 000 particuliers sont touchés par WannaCrypt, le tout réparti dans 150 pays. La menace est clairement internationale et prend racine dans toutes les machines qui ne sont pas à jour, que les systèmes soient anciens ou récents. L'organisation a d'ailleurs ouvert une enquête et « travaille de manière étroite » avec les autorités des pays concernés.
Deux variantes du ransomware sont en outre apparues hier. MalwareTech avait prévenu : la « version 2.0 » de WannaCrypt avait toutes les chances de n’avoir aucun kill switch. Concrètement, ce n’est pas encore tout à fait le cas. La première a pu être rapidement bloquée grâce à l’enregistrement d’un autre nom de domaine, car elle possédait elle aussi un kill switch.
Nous nous sommes entretenus avec le chercheur Matthieu Suiche, qui s’est justement occupé de cette autre version. Il nous a confirmé que plus de 10 000 infections avaient ainsi pu être empêchées, là encore principalement en Russie. Selon lui, la menace est pour l’instant jugulée car les seules deux variantes connues comme étant actives ont vu leur kill switch activé : « Normalement les gens devraient avoir le temps de mettre à jour leur système, mais certaines machines peuvent être depuis déconnectés d’Internet. Ça prendra du temps ».
Pourquoi un kill switch ? « On ne sait pas » nous répond le chercheur. « On suppose qu’ils [les pirates auteurs de la menace] ont voulu garder la main pour du « damage control ». Mais une nouvelle version sans kill switch reste tout à fait possible ». La deuxième variante, qui en était dépourvue, s’est révélée être une fausse menace.
Une partie de son code était en effet corrompue. Même si l’échantillon avait été envoyé par Kaspersky, aucune exploitation active n’a été détectée dans la nature. En dépit d’un nombre grandissant d’articles sur le sujet, Matthieu Suiche nous confirme qu’il s’agit d’une fausse alerte.
Signalons, puisque l’on parle de « menace armée », que nous ne savons pas actuellement qui se tient derrière cette vague d'escroquerie à grande échelle. Comme l’a indiqué Guillaume Poupard, directeur de l’ANSSI, tout porte à croire dans tous les cas que l’on est face « à une attaque criminelle ».
La situation revient peu à peu à la normale
Actuellement, avec la mise à jour progressive et à marche forcée des parcs informatiques, les problèmes se règlent petit à petit. C’est notamment le cas chez Renault, dont une partie des usines avait été fermée suite à l’infection par le ransomware. Comme confirmé à nos confrères du Monde, la société avait ainsi stoppé durant le week-end les sites de Batilly, Douai et Novo Mesto (Slovénie). Actuellement, seul le site de Douai est encore à l’arrêt. Selon un porte-parole, l’usine devrait être remise en route dès demain.
Pour le NHS anglais, durement touché pendant le week-end, la situation semble stabilisée mais continue de rester problématique. Comme la BBC l'a tout juste indiqué, nombre d'établissements de santé restent en partie paralysés, obligeant les patients à se rendre dans d'autres hôpitaux.
Une partie des structures impactées a retrouvé son système informatique, mais des délais plus ou moins importants sont toujours constatés. Il faudra encore plusieurs jours pour un rétablissement complet, mais les conséquences sur les plannings perdureront pendant des semaines, voire des mois.
La mise à jour parfois difficile des parcs informatiques
Ce que souligne finalement le cas WannaCrypt, c’est le manque de mises à jour dans certains parcs informatiques. Les administrateurs ont bien pour mission de faire attention aux principales menaces de ce type et d’agir en conséquence. Lorsque les Shadow Brokers ont publié l’archive, les chercheurs étaient unanimes : des attaques étaient à prévoir. Ces infections auraient donc pu être en grande partie évitées, surtout sur Windows XP, qui n’est plus supporté depuis 2013.
La situation n’est pourtant pas aussi simple. La mise à jour des systèmes, tant via les patchs réguliers que les migrations vers des versions plus récentes des systèmes, représente des contraintes économiques fortes. Dans de nombreux cas, le problème n’est pas tant la compétence des administrateurs que les moyens investis dans la sécurité.
On trouve par exemple encore Windows XP dans certains robots d’usine. Comme l’a indiqué Laurent Hausermann, cofondateur de Sentryo au Monde, le déploiement des mises à jour est alors assez long, car chacune doit être testée pour vérifier que tout fonctionnera bien. Un délai que l’on retrouve parfois chez les constructeurs Android, qui doivent valider chaque mois les correctifs fournis par Google.
Parfois, le souci réside directement dans le manque de moyens. La BBC rappelle ainsi comment le budget du département informatique du NHS a continuellement baissé au cours des dernières années, un contrat de sécurité n’ayant notamment pas été reconduit en 2015. Actuellement, la situation reste tendue puisque de nombreux services dans les hôpitaux n’ont toujours pas rouvert, mais elle est sous contrôle.
Beware malware: today's cartoon by @mortenmorland pic.twitter.com/9FmnpiK5yl
— The Times of London (@thetimes) 15 mai 2017
Microsoft : un « appel à se réveiller » pour les gouvernements
La société de Redmond a été particulièrement active durant le week-end, fournissant les correctifs pour les systèmes qui n’étaient plus sous support technique et publiant des guides et conseils. Pourtant, l’éditeur semble particulièrement en colère, comme l’a indiqué Brad Smith, son responsable juridique.
Bien qu’il fasse le point sur la rapidité de réaction des ingénieurs impliqués, il n’y a selon lui aucune raison d’être à la fête. Smith indique que la sécurité est devenue un tel enjeu qu’elle est désormais « une responsabilité partagée entre les entreprises et le client », une situation illustrée par le nombre de machines non mises à jour deux mois après la publication des correctifs.
Ce que nous relativiserons. Il nous semble délicat en effet d’intéresser l’ensemble des utilisateurs à la sécurité de produits dont, pour beaucoup, ils n’ont aucune idée du fonctionnement. Un point d’ailleurs de plus en plus compensé par des systèmes entièrement automatisés fonctionnant à marche forcée. Windows 10 illustre parfaitement cette évolution : les mises à jour sont obligatoires et installées automatiquement.
Mais Smith s’en prend au « stockage des vulnérabilités par les gouvernements ». En ligne de mire évidemment, la NSA. Le cas illustre effectivement un danger de très nombreuses fois répétées, surtout depuis les premières révélations d'Edward Snowden : les failles stockées pour servir de « cyberarmes » ne sont pas corrigées par les éditeurs concernés. Si elles sont découvertes par des pirates, elles peuvent être alors utilisées pour voler des informations ou obtenir des rançons.
On retrouve donc une situation typique que l’on pouvait craindre : un outil produit par un État, entre les mains du crime organisé. Smith rappelle de fait l’appel lancé en février dernier pour une « Convention de Genève numérique », afin que les gouvernements, qui « doivent se réveiller », considèrent les cyberarmes comme des armes classiques. Les dégâts sur la population sont tout aussi réels selon l’éditeur.
Hygiène informatique : le rappel des bases
Il est probable que l’aventure WannaCrypt ne s’arrête pas ici. Les chercheurs estiment actuellement que tout est possible. Face à cette éventualité, il est nécessaire encore une fois de rappeler les règles d’hygiène élémentaires. La première, et de loin la plus importante, est d’avoir un système toujours à jour. La règle dépasse le cadre du simple ordinateur et est valable pour l’ensemble des appareils disposant d’un système d’exploitation.
Dans tous les cas, l’utilisateur est tributaire de la manière dont la sécurité est gérée par le constructeur. Sur un ordinateur, le fonctionnement est simple : tant que le produit est supporté, les correctifs affluent. Dans les environnements mobiles et les objets connectés, la situation est plus complexe. Idéalement, le client devrait toujours faire attention à ce qu’il achète, en s’intéressant notamment à la manière dont le fabricant gère la sécurité.
Parmi les autres points importants, on citera la désinstallation systématique de tout ce qui ne sert pas pour réduire la surface d’attaque potentielle, la mise à jour des applications utilisées, le choix de mots de passe forts et uniques pour chaque service en ligne, l’authentification à deux facteurs partout où elle est disponible, ou encore l’utilisation d’une solution antivirale.
N’oublions pas non plus le grand classique : n’ouvrir une pièce jointe que lorsque vous êtes certain de l’expéditeur et que l’email vous paraît tout à fait authentique. Et pour éviter de perdre toute donnée en cas de problème : la mise en place de sauvegardes qui doivent être vérifiées de manière régulière... avec une historisation afin de pouvoir retourner à une période particulière, comme le jour avant l'infection de vos données par un éventuel malware.
