L'attaque par rançongiciel WannaCry s'est produite le 12 mai 2017 et a impacté plus de 200 000 ordinateurs. WannaCry a utilisé une vulnérabilité non corrigée pour transmettre un ver sur les réseaux du monde entier.
Cet article s'articule autour des points suivants :
Contenu associé
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
L'attaque WannaCry par rançongiciel* a été un incident de sécurité majeur qui a impacté les organisations du monde entier. Le 12 mai 2017, le ver rançongiciel WannaCry s'est propagé à plus de 200 000 ordinateurs dans plus de 150 pays. Parmi les victimes notables figurent FedEx, Honda, Nissan et le National Health Service (NHS) du Royaume-Uni, ce dernier ayant été contraint de détourner certaines de ses ambulances vers d'autres hôpitaux.
Quelques heures après l'attaque, WannaCry a été temporairement neutralisé. Un chercheur en sécurité a découvert un interrupteur « kill switch » qui a essentiellement désactivé le logiciel malveillant. Toutefois, de nombreux ordinateurs touchés sont restés chiffrés et inutilisables jusqu'à ce que les victimes paient la rançon ou parviennent à annuler le chiffrement.
WannaCry s'est propagé à l'aide d'une vulnérabilité appelée « EternalBlue ». L'Agence nationale de sécurité des États-Unis (NSA) avait développé cet exploit, vraisemblablement pour son propre usage, mais celui-ci a été volé et rendu public par un groupe appelé les Shadow Brokers après que la NSA a été elle-même compromise. EternalBlue ne fonctionnait que sur les anciennes versions non corrigées de Microsoft Windows, mais il y avait plus qu'assez de machines utilisant ces versions pour permettre la propagation rapide de WannaCry.
*Un rançongiciel est un logiciel malveillant qui verrouille les fichiers et les données par le biais du chiffrement et les déteint contre une rançon.
Dans le domaine de la sécurité, un ver est un logiciel malveillant qui se propage automatiquement à plusieurs ordinateurs d'un réseau. Un ver utilise les vulnérabilités du système d'exploitation pour passer d'un ordinateur à l'autre, en installant des copies de lui-même sur chaque ordinateur.
Voyez le ver est comme un voleur qui se promène dans un parc de bureaux à la recherche de portes non verrouillées. Lorsque le voleur en trouve une, imaginez qu'il puisse créer un double de lui-même qui reste à l'intérieur du bureau déverrouillé, et les deux versions continuent leur recherche de portes déverrouillées.
La plupart des vers ne contiennent pas de rançongiciel. Les rançongiciels se propagent généralement par le biais d'e-mails malveillants, de compromissions d'identifiants, de réseaux de zombies ou d'exploitations de vulnérabilités très ciblées (Ryuk est un exemple de cette dernière méthode). WannaCry était unique en ce sens qu'il combinait non seulement un rançongiciel et un ver, mais qu'il utilisait également une vulnérabilité particulièrement puissante permettant l'exploitation du ver, créée par la NSA.
Les Shadow Brokers sont un groupe d'attaquants qui ont commencé à divulguer au public des outils de logiciels malveillants et des exploits zéro jour en 2016. Ils sont soupçonnés d'avoir acquis un certain nombre d'exploits développés par la NSA, peut-être en raison d'une attaque interne au sein de l'agence. Le 14 avril 2017, les Shadow Brokers ont divulgué l'exploit EternalBlue que WannaCry allait finalement utiliser.
Microsoft a publié un correctif pour EternalBlue le 14 mars, un mois avant que les Shadow Brokers ne le divulguent, mais de nombreux ordinateurs n'étaient toujours pas corrigés au moment de l'attaque WannaCry.
Fin 2017, les États-Unis et le Royaume-Uni ont annoncé que le gouvernement de la Corée du Nord était derrière WannaCry. Cependant, certains chercheurs en sécurité contestent cette attribution. Selon certains, WannaCry pourrait être l'œuvre du Lazarus Group, basé en Corée du Nord, sans pour autant provenir directement du gouvernement nord-coréen. D'autres suggèrent que les indices relatifs à l'auteur du logiciel malveillant ont pu être placés là pour rejeter la responsabilité sur les attaquants basés en Corée du Nord, et que WannaCry pourrait provenir d'une toute autre région.
Le jour de l'attaque, un blogueur et chercheur en sécurité, Marcus Hutchins, a commencé à effectuer une rétro-ingénierie du code source de WannaCry. Il a découvert que WannaCry comportait une fonction inhabituelle : avant de s'exécuter, il interrogeait le domaine iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. Ce site n'existait pas.
Il a donc enregistré le domaine (pour un coût de 10,69 $).
Après que Hutchins l'a fait, les copies de WannaCry ont continué à se répandre, mais elles ont cessé de s'exécuter. En fait, WannaCry s'est éteint dès qu'il a commencé à recevoir une réponse de iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Bien qu'il soit impossible de connaître avec certitude les motivations des auteurs de WannaCry, la théorie veut que cette fonction de requête de domaine ait été incluse dans WannaCry afin que le rançongiciel puisse vérifier s'il se trouve dans une sandbox.
Un bac à sable est un outil anti-logiciels malveillants. Il s'agit d'une machine virtuelle fonctionnant séparément de tous les autres systèmes et réseaux. Il fournit un environnement sûr pour exécuter des fichiers non fiables et voir ce qu'ils font.
Une sandbox (ou bac à sable) n'est pas réellement connectée à Internet. Mais les sandboxes visent à imiter le plus fidèlement possible un ordinateur réel. Elles peuvent donc générer une fausse réponse à une requête adressée à un domaine donné par le malware. Par conséquent, un logiciel malveillant peut vérifier s'il se trouve dans une sandbox en envoyant une requête à un faux domaine. S'il obtient une réponse « réelle » (générée par la sandbox), il peut supposer qu'il se trouve dans une sandbox et s'éteindre afin que la sandbox ne le détecte pas comme étant malveillant.
Toutefois, si le logiciel malveillant envoie sa requête de test à un domaine codé en dur, il peut être amené à penser qu'il se trouve toujours dans un bac à sable si quelqu'un enregistre le domaine. C'est peut-être ce qui s'est passé avec WannaCry : des copies de WannaCry dans le monde entier ont été trompées en pensant qu'elles se trouvaient dans un bac à sable et se sont éteintes. (Une meilleure conception du point de vue de l'auteur du malware serait d'interroger un domaine aléatoire différent à chaque fois ; ainsi, les chances d'obtenir une réponse du domaine hors d'un sandbox seraient proches de zéro).
Une autre explication possible est que la copie de WannaCry qui s'est répandue à travers le monde était inachevée. Les auteurs de WannaCry ont peut-être codé en dur ce domaine en tant qu'espace réservé, dans l'intention de le remplacer par l'adresse de leur serveur de commande et de contrôle (C&C) avant de diffuser le ver. Il se peut aussi qu'ils aient voulu enregistrer eux-mêmes iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com. ( Le filtrage DNS ou le filtrage URL auraient peut-être pu arrêter les requêtes vers ce domaine, mais la plupart des organisations n'auraient pas été en mesure de déployer cette mesure de sécurité à temps).
Quelle que soit la raison, ce fut un coup de chance qu'une action aussi simple ait pu sauver des ordinateurs et des réseaux du monde entier d'une nouvelle infection.
Il s'est avéré qu'avant de commencer à travailler et à bloguer comme chercheur en sécurité, Hutchins avait passé des années à fréquenter les forums de logiciels malveillants sur le dark web, à construire et à vendre ses propres logiciels malveillants. Quelques mois après l'incident WannaCry, le FBI a arrêté Hutchins à Las Vegas, dans le Nevada, pour avoir créé Kronos, une souche de malware bancaire.
La version de WannaCry qui a été diffusée en 2017 ne fonctionne plus, grâce au domaine d'extinction de Hutchins. En outre, un correctif est disponible pour la vulnérabilité EternalBlue qu'exploitait WannaCry depuis mars 2017.
Cependant, les attaques WannaCry continuent de se produire. En mars 2021, WannaCry utilisait toujours la vulnérabilité EternalBlue, ce qui signifie que seuls les systèmes Windows extrêmement anciens et obsolètes étaient à risque. Les versions plus récentes de WannaCry ont supprimé la fonction « kill switch » présente dans la version originale. Il est fortement recommandé de mettre à jour les systèmes d'exploitation et d'installer immédiatement les mises à jour de sécurité.
Bien que la version originale de WannaCry ne soit plus active, on peut tirer plusieurs leçons essentielles de l'attaque de mai 2017 :
Découvrez d'autres souches de rançongiciel :
Prise en main
À propos de la sécurité des applications Web
Menaces courantes
Ressources VPN
Glossaire de sécurité