WannaCry : Microsoft accuse les gouvernements de négligence

Cyberattaque monstre

En collectionnant des vulnérabilités informatiques dans l’espoir de les exploiter en secret, les services de renseignement mettent en péril la sécurité de la population selon Microsoft.

Vendredi, la planète entière s’est arrêtée, alors que WannaCry (aussi connu sous le nom de WannaCrypt), un rançongiciel particulièrement véreux, a commencé son infiltration dans les systèmes informatiques du Royaume-Uni et de l’Espagne, avant de poursuivre son invasion à l’échelle internationale.

Conséquence? Les administrateurs des systèmes infectés – hôpitaux, entreprises, gouvernements et particuliers – se sont retrouvés face à une demande de rançon les invitant à payer une somme en Bitcoins variant de 300 à 600$ US pour regagner l’accès à leurs fichiers chiffrés à leur insu.

Selon la dernière évaluation d’Europol, plus de 200 000 PC auraient été affectés à travers 150 pays.

Pour Microsoft, les gouvernements doivent agir

Ce dimanche, Brad Smith, le président directeur des affaires juridiques de Microsoft, n’y est pas allé avec le dos de la cuillère. Selon lui, la vulnérabilité exploitée par WannaCry provient de documents confidentiels ayant été dérobés des mains de la NSA plus tôt cette année.

«Cette attaque fournit un autre exemple démontrant que le stockage de vulnérabilités par les gouvernements est un grave problème», peut-on lire dans son billet sur le blogue de Microsoft au sujet des conséquences de la cyberattaque.

«Un scénario équivalent dans un contexte militaire serait comme si l’on avait volé certains missiles Tomahawk à l’armée américaine.»

«Nous avons vu des vulnérabilités stockées par la CIA apparaître sur WikiLeaks, et maintenant cette vulnérabilité dérobée de la NSA a affecté des consommateurs à travers le monde. À plusieurs reprises, des exploits détenus par les gouvernements se sont répandus dans le domaine public et ont causé des dommages à large échelle. Un scénario équivalent dans un contexte militaire serait comme si l’on avait volé certains missiles Tomahawk à l’armée américaine. Et cette récente attaque représente un lien complètement involontaire, mais non moins déconcertant entre les deux formes les plus sérieuses de cybermenaces aujourd’hui – les gestes posés par des états nation et ceux du crime organisé.»

Pour Smith, il est impératif que les gouvernements du monde entier se réveillent et adoptent une approche différente face à une pareille situation. Microsoft souhaite voir l’équivalent d’une Convention de Genève à l’ère numérique, selon laquelle les gouvernements seraient dans l’obligation de «signaler les vulnérabilités aux éditeurs de logiciels, plutôt que de les stocker, de les vendre ou de les exploiter». Une telle proposition avait d’ailleurs été avancée par l’entreprise en février dernier.

Avant de pleurer, je veux comprendre

Dans le cadre de cette cyberattaque, WannaCry exploite une vulnérabilité exploitée surnommée EternalBlue. Elle se retrouve au sein de nombreuses versions de Windows pour qui le soutien par Microsoft est arrivé à échéance. En ce qui concerne les versions plus récentes du système d’exploitation, la faille a été colmatée le 14 mars dernier par le biais d’une mise à jour de sécurité. Cependant, plusieurs administrateurs n’ont simplement pas activé l’installation de mise à jour automatique en plus de ne pas l’avoir installée manuellement.

Alors qu’elle aurait très bien pu rappeler à quel point il aurait été préférable pour ces victimes d’adopter Windows 10, Microsoft a exceptionnellement déployé de toute urgence une mise à jour de sécurité destinée à Windows XP.

Parallèlement à ces développements, un spécialiste en sécurité, Marcus Hutchins (surnommé MalwareTech sur Twitter) est parvenu à freiner l’hémorragie.

Car avant de chiffrer quoi que ce soit, WannaCry est programmé pour communiquer avec un serveur particulier. Si la communication réussie, les fichiers du système sont préservés tels quels. C’est en quelque sorte une kill switch, possiblement implantée par l’auteur du rançongiciel pour lui permettre d’annuler la progression de sa cyberattaque. MalwareTech a simplement enregistré le domaine qui n’avait simplement pas été réservé par le fraudeur, désactivant par conséquent la portée de la cyberattaque vers les systèmes qui n’avaient toujours pas été infectés.

Avant de crier victoire toutefois, il faut savoir que des variations de WannaCry sans kill switch ont été repérés sur d’autres systèmes. De l’importance d’appliquer aussitôt que possible les plus récentes mises à jour de sécurité de Microsoft, puisque ces variations exploitent la même vulnérabilité.

  • Gumby

    Bien que je ne vois pas trop comment, j’espère qu’ils vont mettre en place une sécurité empêchant l’encryptions des données par un logiciel tiers (à moins d’un procédé qui demande une intervention humaine physiquement sur place via un logiciel approuvé //whatever//)… Autrement, on ne fait que se dire: Jusqu’à la prochaine fois !…

    • Steve Rodrigue

      C’est pratiquement impossible d’empêcher un logiciel de manipuler des fichiers (donc, de les encrypter). Qu’est-ce qui différencie un changement anodin à un fichier à l’encryption d’un fichier? Pas grand chose!

      • Gumby

        I know right… Et même si une solution apparaitrait, un moyen de contournement sera éventuellement trouvé de toutes façons… Alors bon. «Jusqu’à la prochaine fois !» :C

  • Pierre

    Pour les administrateurs système des organismes victimes de ce malware, Je trouve peu d’excuse… S’ils décident de continuer l’usage d’une version périmée de MS Windows en connaissance de cause, c’est leur choix. Je pense par contre aux utilisateurs lambda qui utilisent des vieux PC sans avoir la connaissance technique pour les maintenir sécurisés et peut-être pas les moyens de s’acheter des ordinateurs neufs. Il serait bien qu’il puisse être mis en contact avec des enthousiastes des logiciels libres qui pourrait les aider à donner une nouvelle jeunesse à leurs machines. Il existe des distributions légères, sécurisées et facile d’utilisation qui leur ferait parfaitement l’affaire.

  • Tentacle-Sama

    Pour ceux qui n’ont pas été affectés, c’est un bon rappel de faire ses updates, mais aussi de garder des backup car on n’est jamais parfaitement à l’abris d’une faille de type Zero day ou d’une défaillance matérielle, si possible avec une copie sur un média qui n’est pas connecté à un PC, voir hors site en cas d’incendie (ou d’inondation, ceux qui avaient leurs PC dans le sous-sol avec le backup sur l’étagère à coté doivent le regretter…).

  • Mark LeGrand

    Bof…je pense toute fois a une stratégie de Microsoft pour pousser les entreprises vers Windows 10…

    C’est pareil pour les antivirus si vous voulez des évaluations parfaite il faut créer des virus que sauf lui peut détecter.

  • r2d3

    le coupable est microsoft