Ce week-end nous avons vu la propagation d’un ransomware nommé Wannacry paralyser certaines entreprises, dont le groupe Renault. Cette opération a été qualifiée de « cyber attaque » et a été largement médiatisée dans le monde. Mais que s’est-il réellement produit ?
Envie de pleurer ?
Wannacry est un ransomware, c’est-à-dire un programme qui va chiffrer les données présentes sur votre ordinateur (les rendre illisibles sans la clé de déchiffrement) et vous demandera une somme d’argent (la rançon) pour avoir la clé de déchiffrement. Ce type de menace existe depuis plusieurs années et a déjà touché un certain nombre de particuliers et sociétés.
Ce qui est nouveau avec WannaCry c’est l’utilisation d’un exploit (une faille) qui lui permet de se propager de machine en machine, là où la génération précédente de ransomware avait besoin de l’intervention d’un utilisateur. En clair, il fallait qu’une personne clique sur un lien ou exécute un fichier pour activer le ransomware et maintenant tout est automatisé !
Nous pouvons presque parler de ransomworm, la mutation d’un vers informatique (worm) avec un ransomware. Ce type de nouvelle menace risque de revenir régulièrement, les personnes à l’origine de ces logiciels étant toujours plus créatives !
Pour aller un peu plus loin, voici comment la faille a été découverte : le groupe de pirates Shadow Broker a dérobé puis publié des outils de la NSA qui permettaient notamment de prendre le contrôle d’ordinateur à distance. Parmi ces outils, nous en avons un qui exploite la fameuse faille EternalBlue. C’est celle-ci qui sera utilisée dans Wannacry.
Les vulnérabilités
Les vulnérabilités sont découvertes dans tous les programmes et sont (enfin, devraient être) corrigées par les différents éditeurs. Si l’on en croit l’organisme Mitre, le top 3 des logiciels tous confondus qui ont eu le plus de vulnérabilités découverte en 2016 sont : Android, Debian et Ubuntu. Nous retrouvons le système d’exploitation Windows 10 seulement en 14ème position (dommage pour les idées reçues !).
Alors pourquoi viser un système d’exploitation qui ne figure pas dans les 10 logiciels les moins sûrs pour lancer une attaque ? Il nous manque un paramètre qui est la popularité des systèmes d’exploitation. Windows est le système le plus installé sur les ordinateurs, il fait donc l’objet de plus d’attaques, car il touche le plus grand nombre d’utilisateurs. Nous retrouvons bien évidemment des ransomwares sur d’autres systèmes, comme MacOs ou encore Android, ces derniers ne sont pas épargnés !
Mais cela fait-il de Windows un système moins sûr que les autres ? Non ! à condition de respecter certains principes, dont l’installation des mises à jour. Comme nous l’avons vu plus haut, les éditeurs publient des correctifs qui permettent de corriger des failles de sécurité. Était-ce le cas pour celle exploitée par le ransomware ?
Et bien oui ! Microsoft a publié le 14 mars (soit 2 mois plus tôt !) un correctif pour combler cette faille. Si nous procédons par chronologie, voici ce que nous obtenons :
- 14 mars publication du correctif de la faille EternalBlue,
- 25 avril révélation de l’exploit de la faille au travers de la publication de ShadowBrocker,
- 13 mai première détection de Wannacry.
Parmi les vecteurs d’infection, en plus des ordinateurs qui ne sont pas à jours, nous pouvons également compter des systèmes d’exploitation vieux de plus de 10 ans et qui ne sont plus maintenus par Microsoft (comme Windows XP et 2003). Ces systèmes auraient dû être remplacés, mais bon nombre de sociétés les conservent… Pour éviter le pire, Microsoft a publié également des correctifs pour ces systèmes (XP et 2003) , mais plus tardivement.
Malgré ce correctif, le ransomware a réussi à se propager de la façon la plus simple : exploiter les ordinateurs qui ne sont pas à jour ! Dans un monde parfait où tous les patchs sont appliqués, ce ransomware n’aurait eu aucune chance !
Partant de ce constat, devons-nous appeler cet événement une cyber-attaque ou bien un acte de négligence ? Je vous laisse décider !