Après la consternation initiale devant l’ampleur inégalée de la cyberattaque, certains aspects de WannaCry soulèvent l’étonnement. Le virus s’avère en effet être de mauvaise facture, d’où une progression très vite stoppée et un maigre butin pour les attaquants.

Le virus WannaCry s’est illustré par sa propagation fulgurante et les dégâts qu’il a causés. Pourtant, ce ver montre de nombreuses faiblesses techniques, confiant parfois à l’amateurisme. Grâce à cela, l’attaque a été bien moins problématique qu’elle n’aurait pu l’être. La quantité d’argent extorquée par les attaquants a été modique, et la première vague d’infections a été stoppée au bout de quelques heures seulement.

Pour tout comprendre sur le virus Wannacry, voici tous nos dossiers :

Le kill switch

La solution à l’attaque est trouvée dès le 12 mai 2017, jour même du début de l’attaque. Marcus Hutchins est un expert en cybersécurité britannique de 22 ans, bloguant sous le pseudonyme de MalwareTech. Son employeur, la firme de sécurité Kryptos Logic, le charge entre autres de surveiller la progression des botnets — des machines infectées, généralement des objets connectés, qui se connectent en masse à des sites Web pour causer des attaques en déni de service.

Image d'erreur

Quand il apprend la cyberattaque en cours contre les hôpitaux de la NHS, MalwareTech se penche sur le virus impliqué dans l’épidémie. Il décortique un spécimen de WannaCry déniché par un de ses confrères et s’aperçoit que le ver tente de se connecter à un certain nom de domaine — un site Web au nom illisible, iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.

Il débourse une dizaine d’euros pour acheter le nom de domaine, qui enregistrait des milliers de connexions par seconde. « Le but était juste de surveiller la propagation [du virus] pour voir si on pouvait y faire quelque chose plus tard », explique-t-il au journal The Guardian. « Mais on a en fait arrêté la propagation juste en réservant le nom de domaine. »

https://twitter.com/MalwareTechBlog/status/863187104716685312

En effet, le nombre de nouvelles infections chute alors de façon spectaculaire. Le nom de domaine en question est un kill switch, un interrupteur caché dans le virus permettant à ses créateurs de stopper sa diffusion à distance. En s’installant sur une nouvelle machine, WannaCry tente de se connecter au nom de domaine ; si ce dernier ne répond pas, il finit d’infecter l’ordinateur. Cette procédure permet au virus de vérifier qu’il se trouve bien en conditions réelles, et non pas en laboratoire chez ses créateurs ; cela évite au ver de devenir hors de contrôle lors des phases de test de sa conception.

Le nom de domaine en question est un kill switch, un interrupteur caché dans le virus permettant à ses créateurs de stopper sa diffusion à distance.

Une fois acheté par MalwareTech, le site Web s’est mis à répondre, stoppant toutes les nouvelles installations. Le jeune expert ne comprend initialement pas la portée de ce qu’il vient de faire et croit brièvement avoir au contraire favorisé la propagation du virus. Avec ses collègues de Kryptos Logic, il connecte le nom de domaine à un DNS sinkhole, une sorte de trou noir dans le grand annuaire des sites Web où toute requête qui rentre ne ressort jamais.

Les nouvelles vagues

La première vague est ainsi stoppée dans la journée. Tous s’attendent cependant à ce que les créateurs du virus reviennent à la charge avec un ver modifié, insensible à cette parade. Le lendemain, une nouvelle version de WannaCry se déclare… dotée du même kill switch, pointant simplement sur une nouvelle adresse écrite en clair dans le code. Le chercheur en cybersécurité Matthieu Suiche, un Français basé à Dubaï, répète la procédure de MalwareTech et bloque la deuxième vague. « Je ne vois aucune explication évidente à pourquoi il y a encore un kill switch », dit-il. Il aurait en effet été très simple de coder un WannaCry qui se connecterait à une adresse aléatoire…!

https://twitter.com/msuiche/status/864022459854487552

Peu après sa mise en place, le sinkhole de MalwareTech fait l’objet d’attaques en déni de service (DDoS) de la part d’attaquants non identifiés. Ceux-ci tentent de relancer l’épidémie en rendant le nom de domaine de nouveau inaccessible. Ils utilisent pour cela une variante du botnet Mirai, qui avait mobilisé les capacités d’objets connectés piratés pour causer des attaques très remarquées en septembre 2016.

Peu après sa mise en place, le sinkhole de MalwareTech fait l’objet d’attaques en déni de service

Le 17 mai, le pic de la DDoS atteint un volume de 20 Go par seconde, soit vingt fois plus qu’une DDoS moyenne. Cela reste cinquante fois moins que ce que Mirai avait infligé en son temps à Dyn, le fournisseur de DNS. Le sinkhole reste en ligne. « Ce ne sont pas les développeurs du ransomware, estime MalwareTech. N’importe quel idiot avec son chien peut mettre en place un botnet Mirai […] ils font ça juste pour faire du mal. »

Après quelques autres variantes de WannaCry similaires à l’original, Kaspersky note l’émergence en fin de compte d’un « WannaCry 2.0 » dépourvu de kill switch. Celui-ci aurait été créé par des hackeurs tiers sans rapport avec les commanditaires du virus, dans un mouvement dit de « copycat ». Le seul moyen de stopper sa propagation est alors celui préconisé par Microsoft depuis avant même le début de l’épidémie : patcher les ordinateurs.

Après l’épidémie

La progression du virus est stoppée au bout de quelques jours, mais des centaines de milliers d’ordinateurs sont toujours atteints et chiffrés. Un Français, Adrien Guinet, met au point une méthode appelée WannaKey permettant de retrouver ses données sous certaines conditions assez strictes. Il faut en effet que l’ordinateur infecté tourne sous Windows XP, ce qui ne représente qu’une faible fraction des cas, et que la machine n’ait pas été éteinte et rallumée depuis son infection. WannaKey exploite une faille de Windows XP, qui oublie de vider intégralement la mémoire vive de l’ordinateur, ce qui peut permettre de récupérer la clé de chiffrement utilisée par le virus. Dans la journée, deux autres Français, Benjamin Delpy et Matthieu Suiche, transposent la méthode à Windows 7 sous le nom de WanaKiwi.

WannaKey exploite une faille de Windows XP qui peut permettre de récupérer la clé de chiffrement utilisée par le virus

Quant à MalwareTech, son auréole de héros contre WannaCry ne dure pas longtemps pour les autorités américaines. En août 2017, alors qu’il se trouve à Las Vegas pour assister aux conférences de cybersécurité Black Hat et DEFCON, il est arrêté et accusé d’être à l’origine d’un virus nommé Kronos. Créé en 2014, ce cheval de Troie récupère les données bancaires de ses victimes et se marchande pour plusieurs milliers de dollars dans les milieux du cybercrime.

https://twitter.com/MalwareTechBlog/status/1028746655783251968

Marcus Hutchins ici accompagné d’un-e furry.

Depuis, MalwareTech vit à Los Angeles en liberté conditionnelle, et fait l’objet de nouvelles accusations depuis l’été dernier concernant un autre logiciel malicieux qu’il aurait écrit. Les poursuites contre MalwareTech suscitent une certaine inquiétude dans le milieu de la cybersécurité, car certaines pratiques reprochées à l’attaquant font partie de l’exercice normal de la profession.

Un ransomware d’amateur

Au-delà de la présence du kill switch, l’autre faiblesse frappante de WannaCry se trouve dans son mécanisme de rançon. On rappelle que le principe d’un tel virus est de chiffrer les données présentes sur l’ordinateur infecté, puis d’exiger de l’utilisateur qu’il paye une rançon afin de procéder au déchiffrement. Mais comme le résume à WIRED Magazine l’ingénieur Craig Williams de Cisco, WannaCry c’est « beaucoup de dégâts, une très forte médiatisation surtout du côté de la police, et probablement la plus faible marge de profit qu’on ait vu dans une campagne de ransomware même de faible ampleur ».

Image d'erreur

La procédure de paiement de la rançon ne permet même pas d’identifier quel ordinateur a payé les bitcoins demandés, ce qui voudrait dire que le déchiffrement de chaque machine serait lancé manuellement par les attaquants — une procédure intenable considérant les centaines de millions d’appareils infectés. Des chercheurs de Cisco ont découvert que le bouton « vérifier le paiement », présent sur l’interface utilisateur de WannaCry, ne fait qu’afficher aléatoirement trois faux messages d’erreur et un faux message confirmant que le paiement a été effectué. Certains avancent même l’hypothèse selon laquelle les hackeurs enverraient des clés de déchiffrement au hasard aux victimes qu’elles aient ou non payé la rançon.

Le bouton « vérifier le paiement », présent sur l’interface utilisateur de WannaCry, ne fait qu’afficher aléatoirement trois faux messages d’erreur

Or, le principe entier du ransomware fonctionne sur une notion de confiance. Aussi étonnant que cela puisse paraître, il faut que les utilisateurs ciblés soient sûrs que les attaquants déchiffreront leurs fichiers pour qu’ils leur donnent de l’argent. Imaginez qu’un groupe armé capture des otages et demande une rançon, mais tue les otages après que la rançon ait été reçue : personne ne voudra plus leur payer de rançon ensuite.

Un montant collecté dérisoire

Résultat : la quantité d’argent récoltée par les hackeurs ne s’élève qu’à 140 000 dollars. C’est dérisoire en comparaison du ransomware Angler, pourtant bien moins médiatisé, qui avait amassé 60 millions de dollars sur un an avant d’être éradiqué en 2015. « Vous penseriez qu’il faudrait qu’ils soient des codeurs de génie pour arriver à intégrer des exploits de la NSA. En vrai, c’est la seule chose qu’ils savent faire, et à part ça ce sont des cinglés », commente Rob Graham, un consultant pour Errata Security.

Lors de l’étape de la collecte de la rançon, les attaquants n’ont même pas pris les précautions d’usage pour couvrir leurs traces. WannaCry demande d’envoyer de l’argent en bitcoin sur trois adresses de cryptomonnaies (wallets) fixes, au lieu d’avoir un wallet unique par victime. Or, dans la plupart des cryptomonnaies dont le bitcoin, les transactions ne sont pas chiffrées et sont au contraire publiquement accessibles — le préfixe « crypto » fait simplement référence aux outils mathématiques employés dans la blockchain.

Image d'erreur

Un coffre-fort américain // Source : Brook Ward via Flickr

Cela facilite le travail des enquêteurs pour retrouver les traces financières des hackeurs. Néanmoins, on suppose que les rançons ont été « blanchies » après que les wallets furent vidés par leurs propriétaires début août 2017. Le procédé utilisé pourrait être un bitcoin mixer, un wallet d’où entrent et sortent d’abondants flux financiers sans que l’on sache ce qui va à qui.

Si les motivations de WannaCry n’étaient pas financières, étaient-elles politiques ? Qui est donc derrière le virus ? Nous verrons cela au prochain épisode, où les regards se tournent vers la Corée de Nord.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.