WannaCry : Microsoft accuse les gouvernements de négligence

Cyberattaque monstre

En collectionnant des vulnérabilités informatiques dans l’espoir de les exploiter en secret, les services de renseignement mettent en péril la sécurité de la population selon Microsoft.

Vendredi, la planète entière s’est arrêtée, alors que WannaCry (aussi connu sous le nom de WannaCrypt), un rançongiciel particulièrement véreux, a commencé son infiltration dans les systèmes informatiques du Royaume-Uni et de l’Espagne, avant de poursuivre son invasion à l’échelle internationale.

Conséquence? Les administrateurs des systèmes infectés – hôpitaux, entreprises, gouvernements et particuliers – se sont retrouvés face à une demande de rançon les invitant à payer une somme en Bitcoins variant de 300 à 600$ US pour regagner l’accès à leurs fichiers chiffrés à leur insu.

Selon la dernière évaluation d’Europol, plus de 200 000 PC auraient été affectés à travers 150 pays.

Pour Microsoft, les gouvernements doivent agir

Ce dimanche, Brad Smith, le président directeur des affaires juridiques de Microsoft, n’y est pas allé avec le dos de la cuillère. Selon lui, la vulnérabilité exploitée par WannaCry provient de documents confidentiels ayant été dérobés des mains de la NSA plus tôt cette année.

«Cette attaque fournit un autre exemple démontrant que le stockage de vulnérabilités par les gouvernements est un grave problème», peut-on lire dans son billet sur le blogue de Microsoft au sujet des conséquences de la cyberattaque.

«Un scénario équivalent dans un contexte militaire serait comme si l’on avait volé certains missiles Tomahawk à l’armée américaine.»

«Nous avons vu des vulnérabilités stockées par la CIA apparaître sur WikiLeaks, et maintenant cette vulnérabilité dérobée de la NSA a affecté des consommateurs à travers le monde. À plusieurs reprises, des exploits détenus par les gouvernements se sont répandus dans le domaine public et ont causé des dommages à large échelle. Un scénario équivalent dans un contexte militaire serait comme si l’on avait volé certains missiles Tomahawk à l’armée américaine. Et cette récente attaque représente un lien complètement involontaire, mais non moins déconcertant entre les deux formes les plus sérieuses de cybermenaces aujourd’hui – les gestes posés par des états nation et ceux du crime organisé.»

Pour Smith, il est impératif que les gouvernements du monde entier se réveillent et adoptent une approche différente face à une pareille situation. Microsoft souhaite voir l’équivalent d’une Convention de Genève à l’ère numérique, selon laquelle les gouvernements seraient dans l’obligation de «signaler les vulnérabilités aux éditeurs de logiciels, plutôt que de les stocker, de les vendre ou de les exploiter». Une telle proposition avait d’ailleurs été avancée par l’entreprise en février dernier.

Avant de pleurer, je veux comprendre

Dans le cadre de cette cyberattaque, WannaCry exploite une vulnérabilité exploitée surnommée EternalBlue. Elle se retrouve au sein de nombreuses versions de Windows pour qui le soutien par Microsoft est arrivé à échéance. En ce qui concerne les versions plus récentes du système d’exploitation, la faille a été colmatée le 14 mars dernier par le biais d’une mise à jour de sécurité. Cependant, plusieurs administrateurs n’ont simplement pas activé l’installation de mise à jour automatique en plus de ne pas l’avoir installée manuellement.

Alors qu’elle aurait très bien pu rappeler à quel point il aurait été préférable pour ces victimes d’adopter Windows 10, Microsoft a exceptionnellement déployé de toute urgence une mise à jour de sécurité destinée à Windows XP.

Parallèlement à ces développements, un spécialiste en sécurité, Marcus Hutchins (surnommé MalwareTech sur Twitter) est parvenu à freiner l’hémorragie.

Car avant de chiffrer quoi que ce soit, WannaCry est programmé pour communiquer avec un serveur particulier. Si la communication réussie, les fichiers du système sont préservés tels quels. C’est en quelque sorte une kill switch, possiblement implantée par l’auteur du rançongiciel pour lui permettre d’annuler la progression de sa cyberattaque. MalwareTech a simplement enregistré le domaine qui n’avait simplement pas été réservé par le fraudeur, désactivant par conséquent la portée de la cyberattaque vers les systèmes qui n’avaient toujours pas été infectés.

Avant de crier victoire toutefois, il faut savoir que des variations de WannaCry sans kill switch ont été repérés sur d’autres systèmes. De l’importance d’appliquer aussitôt que possible les plus récentes mises à jour de sécurité de Microsoft, puisque ces variations exploitent la même vulnérabilité.