Et la lumière, une fois n'est pas coutume, vint de la France. Depuis le 19 mai, il existe désormais un vaccin fiable à WannaCry, le ransomware maléfique qui vient d'infecter 300 000 victimes dans 150 pays - la majorité d'entre elles étant apparemment chinoises, le parc informatique local payant sa dépendance malsaine à Windows XP. Ou comment deux mecs, chacun dans leur coin, ont été plus rapides et plus efficaces qu'Interpol et tous les grands fabricants d'antivirus qui s'échinent depuis une semaine à trouver une solution pour décrypter les millions de fichiers corrompus par le virus et récupérables uniquement par règlement de 300 à 600 dollars en bitcoins.Premier artisan de l'exploit, le chercheur en sécurité Adrien Guinet, qui dévoilait jeudi 18 mai WannaKey, un premier outil de décryptage des fichiers corrompus par le chiffrement de WannaCry. Un outil basé sur une méthode d'une ingéniosité remarquable ou, pour reprendre les mots du chercheur en sécurité Matthieu Suiche (en première ligne dans la guerre contre WannaCry), « totalement badass et super intelligente », qui contourne avec subtilité l'obstacle de la clé de chiffrement générée par le virus. Lorsque WannaCry déboule dans votre PC avec la ferme intention de vous pourrir la vie, il commence par réduire en esclavage l'interface de programmation (API) cryptographique maison de Microsoft, CryptoAPI, qui lui permet entre autres de générer la clé de chiffrement de vos fichiers via l'algorithme de cryptographie RSA, extrêmement populaire et basé sur une propriété des nombres premiers qui n'a pas sa place dans cet article (mais si ça vous branche, c'est expliqué ici). Une fois le boulot effectué et la clé sécurisée, WannaCry l'efface logiquement de votre machine. En gros, c'est comme si quelqu'un entrait chez vous, appelait votre serrurier, lui faisait changer toutes les serrures de la baraque et se barrait avec la nouvelle clé dans la poche en vous demandant du pognon pour la récupérer. Sauf que sur certaines versions d'XP, un mécanisme empêche la clé d'être totalement effacée de la machine : dans certains cas, les nombres premiers utilisés pour la générer restent stockés, temporairement, dans la mémoire de votre ordinateur, jusqu'à ce que celui-ci soit redémarré. C'est là que s'exprime la géniale fourberie de WannaKey : une fois installé, l'outil va aller pêcher les nombres premiers disséminés dans l'appareil et, à partir d'eux, retrouver la clé de chiffrement générée. Nul besoin, du coup, de s'attaquer frontalement au protocole de chiffrement de WannaCry.Wannakey + WanaDecrypt = WanaKiwiLa méthode d'Adrien Guinet a beau être badass, intelligente et tout le toutim, elle ne fonctionne néanmoins que sur Windows XP – ce qui fait une belle jambe à presque tout le monde, excepté aux Chinois. Quand elle fonctionne tout court, d'ailleurs : testée par Matthieu Suiche le 18 mai, elle ne fonctionnait tout simplement pas, ce qui valait à Ars Technica de rapporter l'information, jeudi 18 mai, en s'aidant de gigantesques pincettes et d'un maximum de conditionnel. Même dans la notice d'utilisation du logiciel publiée sur GitHub, Guinet se montrait plutôt prudent, rappelant en préambule qu'il « faudra un peu de chance pour que ça fonctionne, et que ça ne sera donc pas efficace dans tous les cas ». Le lendemain, cependant, la situation avait radicalement changé, grâce à l'intervention d'un autre Français, Benjamin Delpy. Le 15 mai, Delpy avait lui aussi conçu un logiciel de décryptage des fichiers, WanaDecrypt, compatible avec plusieurs versions de Windows… pour qui possédait la clé générée par WannaCry, c'est-à-dire très, très peu de gens. D'un côté, un outil pour retrouver une clé limité par le système d'exploitation (OS) ; de l'autre, un outil pour décrypter les fichiers infectés sur plusieurs OS, à condition d'avoir la clé : ne restait plus qu'à fusionner les deux. Dit comme ça, ça a l'air simple, mais c'est quand même énormément de boulot. Ce vendredi 19 mai, Matthieu Suiche a mis à jour son post Medium original pour présenter la première méthode complète de décryptage des fichiers de WannaCry, conçue, testée et vérifiée sur tous les systèmes d'exploitation de Windows XP à Windows 7 par ce qu'il faut désormais appeler la « French Mafia », sainte trinité hexagonale de la lutte contre le piratage par rançon.Au cœur du système, le programme WanaKiwi, sorte d'évolution de WanaDecrypt croisée avec WannaKey, réécrite en OpenSSL par Benjamin Delpy en intégrant la méthode développée par Adrien Guimet. Comme prévu, le programme régénère la clé créée par le virus à partir des nombres premiers, puis l'utilise pour décrypter vos fichiers. Et Delpy s'est même permis d'ajouter une fonctionnalité à WanaKiwi qui le rend compatible avec le virus lui-même, et l'empêche donc de crypter de nouveaux fichiers. En plus d'un remède, WanaKiwi vous offre également un vaccin pour les prochaines attaques de ce type. Evidemment, comme le rappelle Matthieu Suiche, le logiciel ne peut fonctionner que sur les machines infectées n'ayant encore jamais été redémarrées, condition sine qua non pour que les nombres premiers se trouvent toujours sur la mémoire de l'ordinateur. Beaucoup de victimes du ransomware n'ont donc aucun autre choix que de payer leurs rançonneurs, d'autant que pour beaucoup d'entre eux, infectés le 12 mai, ce vendredi marque la fin du délai de 7 jours imposé par les pirates. Néanmoins, le boulot réalisé par les trois chercheurs (on devait déjà à Matthieu Suiche la découverte d'autres kill switchs permettant de désactiver des versions de WannaCry) est considérable, et offre enfin un motif d'espoir à toutes les victimes de l'attaque. Toutes nos félicitations, les mecs, vous faites honneur à la grande tradition française de sécurité informatique – surtout quand, dans le même temps, l'Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication organise une rafle nationale des relais français du réseau anonyme Tor pour enquêter sur WannaCry, initiative complètement absurde pour le moins surprenante. A défaut de certains pouvoirs publics, on peut au moins compter sur nos francs-tireurs.
Publicité