Comment une faille Windows a rendu possible une cyberattaque mondiale

Un grand classique : lancer une attaque informatique le vendredi soir quand les entreprises commencent à fermer et à mettre en « pause » leur sécurité… C’est ce qui s’est passé avec la cyberattaque baptisée « WanaCrypt ». C’est l’un des noms du code malveillant qui s’est propagé à très grande échelle vendredi à partir de 3 h 24 (ET).

Rapidement, près de 200.000 ordinateurs situés dans au moins 150 pays ont été touchés par ce virus de type « rançongiciel » (ou ransomware). Schématiquement, ce code malveillant infecte l’ordinateur par l’intermédiaire d’une pièce jointe à un email et chiffre (ou crypte) toutes les données enregistrées et partagées. Pour les récupérer, les pirates réclament une rançon, en l’occurrence 300 dollars, à payer en bitcoins. Ce lundi matin, « 160 transactions avaient été enregistrées, pour un total de 23,89 bitcoins, l’équivalent de 37.767 euros », indique le quotidien Les Échos.

I loveYou, Slammer…

Les victimes sont principalement des entreprises. « En Europe, c’est la Grande-Bretagne qui a été la plus sévèrement touchée : le système informatique du NHS, le service de santé britannique, a été quasi paralysé par le logiciel. Dans de nombreux hôpitaux, les opérations non urgentes ont dû être repoussées ; l’administration ne sait pas encore si des données ont été perdues. Ailleurs en Europe, plusieurs grandes entreprises ont été touchées, dont l’opérateur Telefonica en Espagne, les chemins de fer allemands, et Renault, qui a connu des perturbations sur des chaînes de montage. La Russie et l’Inde ont également été particulièrement touchées en nombre d’ordinateurs infectés », précise Le Monde.

Si la propagation a été très rapide c’est parce que les pirates ont profité d’une faille de sécurité de Microsoft Windows dont l’existence n’a été révélée que très récemment. Elle figurait parmi un ensemble d’outils de piratage appartenant à la NSA (l’agence de renseignement américaine) qui ont été révélés début 2017 par un groupe mystérieux se faisant appeler « The Shadowbrokers ». L’éditeur avait mis à disposition un correctif pour y pallier depuis mars. Mais comme toujours, de nombreuses entreprises ne les appliquent pas ou avec beaucoup de retard. Et surtout, ce patch ne concernait pas Windows XP, le système d’exploitation vieux de 15 ans, mais encore présent dans de nombreuses entreprises et en particulier chez des industriels. Dans l’urgence, Microsoft en a sorti un samedi.

Cette propagation a également été facilitée par le recours à une vieille technique : le ver informatique. Il s’agit d’un virus particulier car il est capable d’exploiter les fonctionnalités réseaux que les autres ne font pas. Il peut en effet se diffuser tout seul via des services de messagerie instantanée ou de courrier électronique. Le principal vecteur de propagation est la pièce-jointe à un email.

Ce type de code malveillant a fait des ravages au début des années 2000. Qui se souvient encore du ver « IloveYou » qui s’est propagé via des pièces jointes en mai 2000 et a infecté plus de 45 millions d’ordinateurs dans le monde.

Trois ans plus tard, ce sera autour Blaster/Lovsan. Au mois d’août 2003, ce ver se répand sur toute la toile en quelques minutes en exploitant une faille de Windows rendue publique… le 16 juillet 2003. Afin qu’il ne soit pas repéré, son concepteur a diffusé 5 autres variantes en moins de 60 jours.  Enfin, le même mois, Sapphire/Slammer  infecte en 10 minutes quelque 75 000 serveurs dans le monde et bloque 13.000 distributeurs automatiques de billets de la Bank of America pendant plusieurs heures aux États-Unis.

Wanacrypt n’atteindra peut-être pas ce niveau. Ce week-end, un jeune anglais a déclaré avoir trouvé par hasard une parade pour stopper sa propagation. Mais les pirates pourraient proposer rapidement une version 2…

Par Philippe Richard