kaptn - Fotolia

WannaCry : des leçons qui n’ont (toujours) pas été tirées

Plus de deux ans après son apparition, ce maliciel continue de jeter une lumière crue sur l’hygiène informatique mondiale. Des milliers de variantes se propagent toujours. L’absence d’effet véritable ne tient qu’à très peu de choses.

Il y a plus de deux ans, WannaCry affolait le monde entier, mettant en lumière la vulnérabilité de nombreux systèmes informatiques. Car ce maliciel n’était pas un ransomware comme les autres, mais un ver se propageant de manière autonome en exploitant la vulnérabilité EternalBlue échappée plus tôt de l’arsenal de la NSA. Pour beaucoup, le pire a été évité, notamment grâce à la découverte et à l’activation, par Marcus Hutchins, d’un kill switch caché dans le code du rançongiciel.

Aujourd’hui, la menace apparaît loin d’être passée, comme le montre la synthèse des recherches de Sophos. Selon les experts de l’éditeur, il y a eu rien moins que 4,3 millions d’attaques conduites par les variantes de WannaCry au mois d’août dernier… sur sa seule base installée. Et ces variantes sont nombreuses. À l’automne dernier, sur une période de trois mois, l’éditeur en a identifié près de 12 500 – mais l’essentiel des détections ne portait que sur une dizaine d’entre elles.

Et mauvaise nouvelle, un grand nombre de ces variantes – plus de 2 700, concentrant près de 99 % des détections fin 2018 – intègre un contournement du kill switch, plus ou moins élaboré, mais « apparemment » implanté via un simple éditeur hexadécimal, sans accès au code source et recompilation. Autrement dit, des assaillants autres que les créateurs du WannaCry originel se le sont approprié. Le kill switch serait-il devenu inutile ? Que nenni ! Jamie Hankins, patron des équipes de recherche de Kryptos Logic, estimait qu’il avait prévenu environ 60 millions de détonations de ransomware… au cours du seul mois de juin de cette année. Et accessoirement, les chercheurs de Sophos soulignent que des paiements sont encore effectués de temps à autre sur les portefeuilles en bitcoin de WannaCry.

Mais alors, pourquoi n’observe-t-on pas un « WannaCry saison 2 » ? Les équipes de Sophos rappellent ce que soulignait déjà l’expert Kevin Beaumont au printemps : le composant chargé du chiffrement des données est contenu dans un fichier zip protégé par mot de passe ; mais sur les plus de 2 700 échantillons étudiés, « l’archive zip est corrompue. Des erreurs apparaissent après l’extraction de quelques fichiers ». Cela valait déjà pour une variante diffusée mi-mai 2017. En fait, c’est celle-ci qui apparaît aujourd’hui largement réutilisée.

C’est ainsi que WannaCry continue de se propager et d’infecter des ordinateurs sans trop alerter ni utilisateurs ni administrateurs. Sophos ne se prive d’ailleurs pas de moquer ces derniers, se laissant aller à « espérer » qu’ils sont « occupés à améliorer leurs processus de gestion des correctifs ». Car c’est bien le principal enseignement : « un ordinateur infecté par n’importe quel type de WannaCry devrait provoquer de grandes inquiétudes, parce que cela indique à quel point il est désespérément obsolète ». Et accessoirement, WannaCry n’est pas la seule menace exploitant EternalBlue.

Pour approfondir sur Menaces, Ransomwares, DDoS

Close