WannaCry, vraiment venu de Corée du Nord ?

De nombreuses sources ouvertes

A commencer par Neel Mehta, chercheur chez Google, qui a publié des indicateurs plaidant en faveur d’un lien entre les auteurs de WannaCry et le groupe Lazarus, supposé lié à la Corée du Nord. De son côté, Symantec en semble sûr : selon lui, il existe des « liens étroits » entre les deux. Ben Read, chez FireEye, est arrivé aux mêmes conclusions.

Mais Kaspersky a choisi la prudence, après examen des indicateurs de Neel Mehta : pour ses équipes, il était alors encore impossible de conclure. Digital Shadows a également fait preuve de réserves, estimant que « le scénario le plus plausible est qu’un acteur cybercriminel non sophistiqué a lancé la campagne WannaCry ». Flashpoint n’a pas non plus véritablement plaidé en faveur d’un lien avec la Corée du Nord, estimant « avec une confiance élevée » que les notes de demande de rançon ont été rédigées par des personnes parlant couramment Chinois, « le langage employé étant cohérent avec celui utilisé dans le Sud de la Chine, à Hong Kong, Taïwan, ou Singapour ».

L’expert Alan Woodward ne cache pas ses réserves à l’égard des affirmations véhiculées par nos confrères. Et il apparaît plus que tentant d’abonder dans son sens. 

Let's hope everyone treats any analysis with all the caveats applied: we wouldn't want a cyber dodgy dossier justifying some future action.

— Alan Woodward (@ProfWoodward) June 16, 2017

Un niveau de confiance discutable

De fait, quelques lignes après le titre, l’article du Washington Post précise que la NSA n’a établi son attribution qu’avec « une confiance modérée ». Autrement dit, elle apparaît tout aussi partagée que l’industrie de la sécurité informatique.

De quoi s’interroger : les agences du renseignement américaine et britannique se sont-elles réellement basées sur plus que des sources ouvertes, accessibles à tous et déjà connues ?

La question est plus que légitime. En janvier, le général d’armée (2S) Marc Watin-Augouard, indiquait partager le sentiment selon lequel le renseignement cyber est privatisé. Il estimait alors que « nous sommes appelés à avoir de plus en plus de sources qui seront extérieures aux services publics et qui pourront être, le cas échéant, récupérées par ces services. Le problème, c’est de savoir finalement quelle est la qualité de ces sources ».

La question apparaît d’autant plus prégnante aujourd’hui qu’elle a déjà été soulevée par le rapport conjoint du ministère de l’Intérieur américain et du FBI sur les « activités cyber malicieuses russes » durant la récente campagne présidentielle aux Etats-Unis.

Une attribution avant tout politique ?

Ce rapport n’a pas manqué, à sa publication, de s’attirer de nombreuses critiques. Robert M. Lee déplorait ainsi, entre autres, qu’il n’y ait « aucun moyen de dire quelles données sont issues du secteur privé et quelles données ont été déclassifiées par le gouvernement ». Pour Robert Graham, d’Errata Security, c’était bien simple : les indicateurs alors présentés n’étaient publiés que « comme un outil politique ».

Dans le cas de WannaCry, l’évocation d’une « confiance modérée », et la fuite de la note d’évaluation chez nos confrères, peut encore plus donner à penser à une posture purement politique. Le niveau de confiance laisse ouverte la porte à une éventuelle rétractation qui n’aurait rien d’humiliante pour la NSA et ses analystes. Et l’agence pourra toujours affirmer n’avoir jamais pris position officiellement…

Enfin, on pourra légitimement s’interroger sur l’influence des liens qui unissent services du renseignement britannique et américain sur leurs évaluations respectives telles que rapportées à quelques jours d’intervalle.