Eh oui, les cybercriminels lisent aussi la presse et les publications de recherche. Le doctorant espagnol Javier Yuste de l’université Rey Juan Carlos de Madrid retiendra la leçon, après sa mésaventure repérée par ZDNet. Le 9 février, l’étudiant a publié sur GitHub (la plateforme de dépôt de code la plus utilisée) un outil pour contrer le rançongiciel Avaddon.
Il a découvert que si la victime vidait la mémoire vive (RAM) d’un appareil infecté, elle pouvait fouiller dans son contenu pour en extirper des morceaux de la clé de chiffrement utilisée par les cybercriminels. Son outil exploite ces informations pour inverser le chiffrement appliqué par les cybercriminels. Seul limite de la combine : elle ne fonctionne plus si les victimes ont éteint les machines infectées, car les données liées à la session disparaissent.
Javier Yuste pensait avoir bien fait : il a publié l’outil gratuitement, avec un tutoriel, et l’a rendu accessible au plus grand nombre. Grâce à lui, des victimes infectées par Avaddon ont pu récupérer leurs fichiers chiffrés. Mieux, l’outil aurait pu permettre de mettre un coup d’arrêt, au moins temporaire, à l’activité des cybercriminels.
Mais 2 jours après la publication de l’outil, les développeurs d’Avaddon ont déjà réparé la faille. Puisque le doctorant avait détaillé la vulnérabilité, les cybercriminels n’ont même pas eu besoin de la chercher pour la corriger. Autrement dit, le doctorant a participé malgré lui à une amélioration du malware, et son décrypteur n’a plus aucune utilité pour les victimes à venir d’Avaddon. Ce genre d’erreur est malheureusement récurrent : début janvier, l’entreprise BitDefender avait publié un décrypteur pour le rançongiciel Darkside, et là aussi, les malfrats s’étaient ajustés dans les jours suivants.
Le décrypteur, seule bonne échappatoire au rançongiciel
L’utilisation d’un décrypteur est, de loin, la meilleure option contre un rançongiciel, car elle permet de restaurer les données dans un délai réduit. Non seulement les victimes n’ont pas à payer la rançon — qui peut s’élever à plusieurs dizaines de millions d’euros — demandée par les cybercriminels, mais en plus, elles évitent les coûts encore plus importants liés à l’arrêt de leur production causée par le rançongiciel.
Grâce à la création de décrypteurs, certains gangs sont contraints d’arrêter leur activité, car leur modèle économique entier s’écroule. Michael Gilespie, aka demonslayer335, a développé des dizaines d’outils du genre, disponibles gratuitement sur le site du Bleeping Computer. Lorsqu’un groupe de cybercriminels prend sa retraite et publie ses clés de chiffrement, tout le monde de la cybersécurité se tourne vers lui, dans l’attente de son décrypteur. D’autres sites, comme No More Ransom, ou celui d’Emsisoft en mettent également à disposition.
Plutôt que de présenter publiquement le décrypteur, plusieurs experts du secteur conseillent de le diffuser aux victimes par des canaux privés en s’appuyant sur les entreprises de réponse à incident ou les communautés d’aide au victime. Ainsi, même si les cybercriminels prennent connaissance de l’existence d’un décrypteur, ils devront identifier eux-mêmes la vulnérabilité de leur malware. Et si les développeurs tiennent absolument à publier leur décrypteur, certains experts conseillent d’au moins ne pas divulguer les détails techniques de son fonctionnement. Reste que les malfaiteurs pourraient télécharger l’outil pour faire un travail de rétro-ingénierie et comprendre les vulnérabilités qu’il exploite.
Avaddon forcé de rassurer ses partenaires
Les développeurs d’Avaddon ont tout de même pris un coup, et ils ont dû prendre des mesures pour rassurer leurs partenaires. Concrètement, les créateurs du rançongiciel fournissent de petits groupes de hackers avec leur outil, et ces derniers se chargent d’infecter les victimes. En temps normal, les développeurs gardent entre 25 % et 35 % du montant de chaque rançon et laissent le reste à leurs partenaires.
Ces partenaires de crime peuvent travailler pour plusieurs groupes à la fois, mais ils vont généralement vers le gang qui propose les meilleurs outils et la répartition des gains la plus avantageuse. Si un décrypteur existe pour le rançongiciel qu’ils utilisent, ils n’auront aucune chance de faire payer les rançons, et ils rejoindront un gang concurrent.
La découverte du décrypteur a pu les faire douter sur la solidité d’Avaddon, et donc pour éviter qu’ils s’en aillent, les développeurs ont augmenté la répartition des gains en leur faveur : les hackers pourront garder 80 % de leurs gains pour tout le mois à venir. Ils peuvent remercier l’étudiant.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.