Peu de temps après l’arrivée du ransomware WannaCrypt, des chercheurs français ont pu exploiter une faiblesse pour créer une application rendant l’accès aux fichiers, du moins dans une partie des cas. Après une analyse complète, trois chercheurs de Kaspersky renchérissent : le code du malware est de mauvaise qualité.
WannaCrypt est pour rappel le ransomware conçu à partir de données révélées par les pirates du groupe Shadow Brokers. En utilisant la faille SMB (Windows) nommée EternalBlue et le malware DoublePulsar, tous deux des outils de la NSA, les concepteurs de WannaCrypt ont pu contaminer plus de 300 000 machines en quelques jours, dont un grand nombre en Russie.
Pour autant, la menace aurait pu être nettement plus sérieuse si le code avait été de meilleure qualité. C’est ce qui ressort des éléments trouvés par des chercheurs en sécurité depuis plusieurs semaines.
Des détails bien peu peaufinés
Selon Anton Ivanov, Fedor Sinitsyn et Orkhan Mamedov de Kaspersky, les développeurs n’ont guère travaillé leur copie, tant les erreurs sont nombreuses.
Comme tout ransomware, WannaCrypt commence par chiffrer les fichiers de l’utilisateur. Dans le cas présent, l’opération aboutit à des fichiers .WNCRY, le malware supprimant ensuite les originaux. C’est du moins la logique de base. Dans la pratique, il existe pourtant des failles.
WannaCrypt semble notamment peiner avec les fichiers en lecture seule. Puisqu’ils ne peuvent pas être modifiés ou effacés, le malware en crée des copies, qu’il chiffre ensuite. Il applique ensuite le statut « masqué » aux originaux, qui sont donc censés être invisibles pour l’utilisateur. Traduction, ils sont toujours sur l’ordinateur et il suffit d’afficher dans l’Explorateur les données cachées pour les retrouver.
Pour les autres fichiers, le grand bazar
S’il s’agit de fichiers classiques, donc sans attribut « lecture seule » (composant la majorité des données), la situation fluctue grandement selon qu’ils sont sur la partition système ou une autre.
Sur la première, les données comprises dans des documents « importants » (Bureau, Documents…) sont intégralement remplacés et il n’existe pas de manière simple de les retrouver, sauf à passer par un utilitaire dédié et dont la réussite dépend de plusieurs conditions.
Pour les autres, les fichiers sont déplacés dans un dossier « %TEMP%\%d.WNCRYT » où %d désigne une valeur numérique changeante. Ils sont ensuite supprimés, mais de manière classique. Traduction, il reste possible de les retrouver avec un outil dédié. Le dossier lui-même est masqué, il faudra donc changer une option dans l’explorateur pour le voir.
Pour les partitions supplémentaires, WannaCrypt crée un répertoire « $RECYCLE » dans lequel il est censé déplacer les fichiers originaux. Censé, car il ne le fait pas toujours. Du coup, certains y ont été stockés puis supprimés, d’autres sont restés sur place mais supprimés également. Dans les deux cas, ces données sont également récupérables en théorie via un outil spécialisé.
Aucune conclusion à en tirer pour la suite
L’analyse de Kapersky s’aligne finalement avec ce qui avait été trouvé par plusieurs chercheurs français, qui ont exploité les faiblesses inhérentes à WannaCrypt pour concevoir des outils récupérant la clé et pouvant donc déchiffrer les données. À condition que la machine n’ait pas été redémarrée et que trop de temps ne se soit écoulé. Comme nous l’avait indiqué Matthieu Suiche, le facteur « chance » joue quand même dans l’équation.
Mais si WannaCrypt a été créé sur la base des publications des Shadow Brokers, peut-on avoir une idée des prochains malwares qui ne manqueront pas d’apparaitre maintenant que les fameux pirates ont proposé leur abonnement ? Non, car plusieurs facteurs joueront. Le principal est qu’on ne sait pas qui prendra en main l’exploitation des prochaines failles. La qualité du code dépend largement des compétences des auteurs.
Autre facteur crucial, le temps qu’ils y accorderont. Ceux qui veulent être les premiers (une compétition risque d’éclater entre les « abonnés ») pourraient manquer de temps pour fignoler les détails. À vrai dire, une telle course contre la montre pourrait jouer en faveur des futures éventuelles victimes en provoquant le même type d’erreur que pour WannaCrypt. Par ailleurs, les éditeurs concernés et les entreprises de sécurité seront tout autant sur le pied de guerre.
Dans tous les cas, les conseils resteront toujours les mêmes : faire en sorte que le système et les logiciels principaux (particulièrement les navigateurs) soient à jour, faire attention aux pièces jointes que l’on ouvre dans les emails, ne pas réutiliser ses mots de passe sur différents comptes et en créer de suffisamment forts. Par ailleurs, en cas de contamination par un ransomware, la recommandation en France est de ne pas payer la rançon. Dans le cas de WannaCrypt, une erreur empêchait d’ailleurs toute restauration des données. Une de plus.