Ne tirons pas de conclusions hâtives de l'attaque WannaCry

"Le problème, ce n'est pas l'attaque en elle-même, mais la négligence et les mauvaises pratiques qui l'ont rendu possible."

|
mai 17 2017, 8:38am

Vendredi dernier, le monde a été touché par une cyberattaque massive basée sur l'utilisation d'un logiciel malveillant, le ransomware WannaCry. Elle s'est propagée à une vitesse folle, donnant aux observateurs le sentiment qu'elle était dirigée vers des cibles précises, comme des entreprises ou des agences gouvernementales. Pourtant, l'idée selon laquelle il s'agissait d'une attaque contre nos infrastructures ou d'une intervention terroriste est complètement fausse, et témoigne d'une mauvaise compréhension du fonctionnement de WannaCry et des brèches de sécurité dont il a tiré profit.

Les logiciels malveillants ne se propagent pas aussi vite d'ordinaire, et les journalistes ont immédiatement pensé à une attaque directe. Ce n'était pourtant pas le cas. Le ransomware a touché le monde entier, de Telefonica en Espagne aux universités chinoises et italiennes en passant par le Ministère de l'intérieur russe et la Deutsche Bahn en Allemagne. Systèmes informatiques d'hôpitaux, ascenseurs, centres commerciaux, institutions, entreprises et autres organisations très diverses ont signalé à la presse que leur sécurité avait été compromise, parfois avec des conséquences dramatiques.

Nous nous sommes habitués à l'idée que les malwares contaminaient généralement les ordinateurs via email, et que des bonnes pratiques de base (éviter d'ouvrir les messages et les liens suspects) suffisaient à nous en protéger. Or, même si le vecteur initial de l'infection ayant débuté la semaine dernière pourrait avoir été un email - ce dont nous n'avons aucune preuve - l'identité du patient zéro n'a plus aucune importance à l'heure actuelle. Si le ransomware s'est propagé si rapidement est qu'il s'agissait d'un ver de réseau SMB. Une fois que l'infection initiale a eu lieu, il n'avait plus besoin de l'intervention humaine pour se propager.

Le ver a profité d'une vulnérabilité appelée ETERNALBLUE qui a été publiée le mois dernier par un groupe de hackers appelé The Shadows Brokers. Cette vulnérabilité, parmi quelques autres, avaient déjà été patchée par Microsoft le mois précédent. Cela signifie qu'il était impossible d'être touché par l'attaque à moins de ne pas maintenir son système d'exploitation à jour ou d'utiliser un OS extrêmement daté comme Windows XP.

Voici ce qui se passe quand on est infecté par WannaCry. Tout commence par l'inquiétant message : "Ooops, your files have been encrypted!"

La plus grande victime du ransomware a sans doute été le Service de santé britannique (NHS) : un total de 48 installations du NHS ont été touchées par l'épidémie. Sous-financé, le NHS n'a pas été en mesure de maintenir des parcs informatiques parfaitement gérés et sécurisés. Comme de nombreux organismes gouvernementaux, ses infrastructures utilisaient des machines tournant sous XP, et les mises à jour de sécurité n'étaient pas faites régulièrement. Et ce, malgré l'accord spécial entre le gouvernement britannique et Microsoft qui avait permis de définir un support étendu pour Windows XP, deux ans auparavant.

La progression du ver a été stoppée, plus ou moins accidentellement par ce que l'on appelle un effet de sinkholing. Avant de tenter de se propager, le ver vérifie s'il peut se connecter à un site Web spécifique, et si c'est le cas, il arrête sa progression. Si c'est impossible, il continue de se propager. Malheureusement pour les individus ayant conçu le ver, ils n'avaient pas enregistré le nom de domaine inscrit au coeur du logiciel malveillant. Quand un chercheur en sécurité informatique a remarqué cette faille, il a effectué l'enregistrement du nom de domaine lui-même, arrêtant net la propagation du ver. Bien que la mesure n'ait pas pu bloquer entièrement l'action du malware (quelques fournisseurs d'accès Internet et outils antivirus bloquent désormais la résolution DNS et le trafic vers le sinkhole), nous sommes aujourd'hui sortis de la crise.

Il est important de ne pas tirer de mauvaises conclusions de cette épidémie. Les gouvernements ont tendance à réagir à ce genre d'événement en légiférant, parce que, sous la pression des médias et des citoyens, cela leur semble préférable à l'inaction. Pourtant, ici, une ou plusieurs lois supplémentaires n'auront pas le moindre effet. Pire, elles risquent de donner davantage de moyens aux gouvernements pour surveiller les citoyens, considérés comme des terroristes en puissance.

L'idée selon laquelle on aurait ici affaire à une attaque contre les infrastructures nationales (britanniques, notamment) est extrêmement dangereuse. La nature globale de l'épidémie indique qu'il ne s'agissait certainement pas d'une action terroriste ciblée, mais bien d'une initiative criminelle dont les effets sont parfaitement incertains puisqu'ils sont subordonnés aux failles de sécurité affectant des réseaux interconnectés et interdépendants. S'il faut bien sûr blâmer les concepteurs du malware, ici l'ampleur de la catastrophe est due à des pratiques irresponsables au sein de départements informatiques gérés par des grosses entreprises et des gouvernements. Dans une certaine mesure, cet échec est parfois dû à un manque de ressources (on pense au NHS), mais surtout, à un manque de compréhension de l'importance des systèmes de sécurité intégrés.

La réponse de Microsoft à la crise a été impeccable, en tous points. L'entreprise a rapidement mis à disposition des patches pour l'ensemble de produits touchés, et s'est ingénié à assister le NHS qui était plongé dans une situation proprement dramatique mettant en jeu la vie et la santé des patients britanniques.

L'événement a été perçu comme une anomalie, un "cas unique". Cela ne devrait pourtant pas être le cas, dans la mesure où les criminels à l'origine de l'attaque ont pu constater le succès de leur entreprise et tirer des leçons de leur erreur. La prochaine fois, il n'y aura pas d'effet sinkholing limitant les dégâts de la contamination, on peut en être certains.

En l'occurrence, nous savons - en examinant les archives de transactions Bitcoin - que des personnes cèdent au chantage du ransomware et paient effectivement la rançon aux pirates. Ces individus sont très minoritaires, si l'on rapporte leur nombre au total de machines infectées. Cependant, pour qu'une attaque de ce genre soit lucrative pour les pirates (50000 $ ont été récoltés jusque là), c'est bien suffisant.

Nous avons déjà observé plusieurs nouvelles variantes du ver ce week-end, ce qui montre que des pirates sont déjà disposés à répliquer une attaque similaire en la perfectionnant. Pour le moment, aucune menace réellement sérieuse n'a été détectée (le seul ver réellement virulent disposait d'un kill switch), mais ce n'est qu'une question de temps avant qu'un malware extrêmement efficace et impossible à désamorcer ne se répande sur les réseaux.

Les mêmes tendances à la négligence de la sécurité informatique ont rendu l'Internet des objets extrêmement vulnérable à des attaques similaires, qui elles-mêmes ont conduit à la fermeture de plusieurs usines. Nous aurions pu arrêter épidémie de ransomware de la semaine dernière très facilement si les propriétaires des machines concernées avaient simplement... installé leur mises à jour et mis leur système d'exploitation à niveau. Mais dans le cas de l'Internet des objets, les appareils électroniques concernés sont destinés à vivre bien plus longtemps que des PC de bureau. On peut d'ores et déjà parier que eux aussi souffriront de défauts de mises à jour à court et à long terme.

Nous nous acheminons vers un monde où ce genre de crise adviendra avec une régularité alarmante, et avec des conséquences de plus en plus sévères. Il ne faudra jamais oublier qu'en matière de sécurité informatique, l'important sera toujours de cibler les causes, et non les symptômes.