Ransomware : WannaCry piège près de 200 000 systèmes

Il a pris en otage quelques 195 000 machines à travers le monde, selon MalwareTech : il l’agit de WannaCrypt, un rançongiciel qui se sera fait une belle place sur Twitter avec le hashtag #WannaCry. Et il y a de quoi : certains systèmes compromis lui ont offert une forte visibilité. On compte là des systèmes sur des chaînes d’assemblage chez Nissan et Renault, des hôpitaux au Royaume-Uni, des banques, des opérateurs télécoms, dont Telefonica, des affichages dynamiques de commerçants, des panneaux d’information de transports en commun outre-Rhin… La liste est longue. En France, l’Agence nationale pour la sécurité des systèmes d’information (Anssi) et la Police Nationale, notamment, ont émis des bulletins d’alerte. Et Europol ne manque pas de rappeler les indispensables gestes de prévention contre les rançongiciels.

We will never forget #wannacry 12.05.2017 Part 1 pic.twitter.com/zqcEndddgM

— Sergey k1k Golovanov (@k1k_) May 13, 2017

A ce jour, au moins 150 demandes de rançon ont été honorées, pour un montant total de l’ordre de 40 000 $, en bitcoin. L’originalité de WannaCry tient notamment à l’exploitation de vulnérabilités qui faisaient partie de l’arsenal de la NSA, dont une en particulier : MS-17-010, dite Eternal Blue, qui affecte le protocole de partage de fichiers de Windows, SMBv1. C’est avec celle-ci qu’il assure sa propagation sur le réseau où est installée la première machine compromise. Ce qui n’a pas manqué de pousser certains experts, sur Twitter, à recommander de mise sur la segmentation réseau… 

Y'all should probably google network segmentation, IT departments. #WannaCry pic.twitter.com/DFRhoCqfii

— Kevin Beaumont (@GossiTheDog) May 13, 2017

Mais WannaCry utilise également une vulnérabilité trouvée par la NSA, dite Double Pulsar, pour pouvoir contrôler à distance les machines compromises. La situation est si préoccupante que Microsoft s’est fendu d’un correctif pour Windows XP ! Mais attention, ce n’est pas le seul système d’exploitation concerné : l’application des correctifs est plus que jamais recommandée. Désactiver SMBv1, comme un script propose de l’automatiser, est également une solution pour éviter la propagation – et c’est également possible à grande échelle avec PowerShell et SCCM. Un jeu de règles Yara est également disponible pour protéger son infrastructure.

Mais WannaCry, c’est en fait déjà de l’histoire ancienne : le rançongiciel contrient son propre interrupteur, une requête de test vers un site Web spécifique. Si le site Web est accessible, le logiciel malveillant ne s’exécute pas. Et justement, le domaine correspondant a été enregistré durant le week-end.

#WannaCry propagation payload contains previously unregistered domain, execution fails now that domain has been sinkholed pic.twitter.com/z2ClEnZAD2

— Darien Huss (@darienhuss) May 12, 2017

Et c’est plutôt une bonne nouvelle. Selon Matthew Green, expert en cryptographie et enseignant à l’université Johns Hopkins, il est peu probable que l’industrie de la sécurité parviennent à produire un outil de chiffrement sans que les auteurs du ransomware ne décident de rendre publiques les clés qu’ils utilisent.

Mais voilà, deux variantes sont déjà disponibles, dont une qui ne contient pas de Kill Switch. Celle-ci pourrait dès s’avérer très difficile à arrêter, mais il y a fort à parier que c’est loin d’être la dernière variante à faire son apparition. Autre mauvaise nouvelle : WannaCry semble très bien fonctionner sous Wine, de quoi menacer également, mais en partie seulement, des machines sous Linux ou macOS. 

A patched (non recompiled) variant with *NO* kill-switch is out there too. Patched jump and zeroed the URL. See screenshots below. #WannaCry pic.twitter.com/RliIRigXwH

— Matthieu Suiche (@msuiche) May 14, 2017

Dans un billet de blog, Brad Smith, le directeur juridique de Microsoft, essaie de tirer les leçons de cette première vague hautement médiatisée de WannaCry. Et la première concerne les utilisateurs, particuliers, entreprises, organismes publics… : « la cybersécurité est devenue une responsabilité partagée entre les entreprises technologiques et leurs clients. Le fait que tant d’ordinateurs restent vulnérables deux mois après la distribution d’un correctif illustre cet aspect ». En somme, les éditeurs peuvent proposer tous les correctifs du monde, ils ne servent à rien s’ils ne sont pas appliqués… Et il est difficile de ne pas abonder dans son sens, tant les études se suivent et se ressemblent, soulignant que la gestion des vulnérabilités reste un véritable point noir de la sécurité.

Mais Brad Smith s’en prend également à la NSA, et plus généralement aux gouvernements du monde entier et à leur propension à se constituer un arsenal de vulnérabilités, soulignant que « des exploits entre les mains de gouvernements ont fuité dans le domaine public, de manière répétitive, provoquant des dommages répandus ». Et il n’est pas le premier à dénoncer cette situation, loin s’en faut.

Début 2014, Art Coviello, alors président exécutif de RSA, alertait sur les cyberarmes et le risque de les voir tomber entre de mauvaises mains. Mi-février, répondant aux questions de la rédaction dans un entretien exclusif, il estimait que « cela va définitivement de pire en pire. Les attaques n’ont pas nécessairement besoin d’être cinétiques et destructrices pour causer des ravages considérables, même s’il est clair que de nombreux états-nations disposent de ces capacités. Et le risque pour celles-ci de tomber dans de mauvaises mains ou se retrouver dans la nature croît chaque année ». S’il le fallait, l’illustration en est faite.