SSI EXP PDT – WannaCry aux origines d’une des plus grandes cyberattaques de tous les temps

https://cyberguerre.numerama.com/170-wannacry-un-an-apres-aux-origines-dune-des-plus-grandes-cyberattaques-de-tous-les-temps.html

Vic Castro 11-13 minutes

Quand l’on entend le terme de « cyberguerre », on pense souvent à Stuxnet, le virus ayant infiltré les centrales nucléaires iraniennes. Pourtant, ce genre d’attaques localisées et sans dégâts collatéraux représente de moins en moins la tendance prévue en cyberguerre. Aujourd’hui, les conflits entre États dans le cyberespace paralysent volontiers des hôpitaux et des usines, causant jusqu’à des milliards de dollars de pertes financières — et potentiellement des morts.

Dans cette série d’articles, nous vous raconterons l’histoire de WannaCry, une des plus grandes cyberattaques de tous les temps juste derrière sa comparse NotPetya, qu’elle a inspiré. Commençons d’abord par retracer les origines du virus, qui est né dans les laboratoires de la NSA.

Pour tout comprendre sur le virus Wannacry, voici tous nos dossiers :

De l’intérêt des failles 0-day

L’histoire de WannaCry commence véritablement dans les locaux de la National Security Agency (NSA), l’agence américaine de surveillance que dénonçait Edward Snowden. Une des activités de la NSA consiste à rechercher des failles de sécurité dans divers logiciels, de façon par exemple à s’introduire dans des machines tierces à des fins de surveillance. Elle met ensuite au point des morceaux de code, appelés exploit, permettant d’utiliser ces failles. Le siège de la NSA, à Fort Meade, dans le Maryland // Source : NSA

Un jour, la NSA découvre une faille de sécurité dans le système d’exploitation de Microsoft, Windows. Ce système d’exploitation tourne sur 90 % des ordinateurs personnels du monde, ainsi que sur une partie non négligeable des serveurs de la planète. Un exploit sur celui-ci a donc énormément de valeur. En l’occurrence, la faille se trouve sur le protocole Service Message Blocs (SMB), qui permet à l’ordinateur de communiquer en réseau avec d’autres machines, comme des imprimantes. La NSA s’en sert pour mettre au point un exploit nommé EternalBlue. Celui-ci fonctionne en tandem avec DoublePulsar, une autre invention de la NSA qui sert à installer une backdoor dans le système pour permettre à un attaquant de s’y introduire plus facilement.

Une faille non communiquée devient une 0-day, permettant d’infecter des appareils sans que le fabricant ne comprenne ce qui se passe

La NSA garde cette arme informatique bien au chaud et dans le plus grand secret. Mais cette pratique des agences de renseignement est très peu appréciée dans les milieux de la cybersécurité. En effet, il est facile pour un fabricant logiciel de combler une faille une fois qu’il en connaît l’existence. Pour la sécurité de tous, quand une faille est découverte, il vaut mieux qu’elle soit communiquée au fabricant dès que possible. Une faille non communiquée devient une 0-day (zero day), permettant d’infecter des appareils sans que le fabricant ne comprenne ce qui se passe. Le nom provient du fait que lorsque le fabricant prend connaissance d’une telle faille, il a « zéro jour » pour la résoudre. La 0-day est une arme potentiellement dévastatrice, mais dont l’usage doit rester discret, car une fois découverte et patchée par le fabricant, elle n’a pratiquement plus de valeur.

Le jour où la NSA a perdu EternalBlue

Et ce qui devait arriver arriva. Services secrets obligent, la chronologie exacte des évènements est difficile à mettre en place. Mais on estime qu’à  la fin de l’année 2016, la NSA suspecte qu’EternalBlue a fuité. Pour reprendre l’expression de Brad Smith, président de Microsoft quelques semaines après l’infection, c’est comme si « l’armée américaine s’était fait voler quelques-uns de ses missiles Tomahawk ». Entre de mauvaises mains, une telle arme pourrait être utilisée à des fins dévastatrices sur les myriades de machines de la planète installées sous Windows. Si une telle catastrophe devait se produire, la seule chose qui pourrait l’empêcher est que Microsoft soit informée de l’affaire et comble la faille. Pour la NSA, cela signifierait sacrifier l’aspect zero-day d’EternalBlue.

« C’est comme si l’armée américaine s’était fait voler quelques-uns de ses missiles Tomahawk »

Début 2017, après avoir attendu au moins 96 jours, la NSA informe Microsoft qu’elle a perdu un de ses « Tomahawks ». La firme de Redmond met au point un patch de sécurité, qui est publié le 14 mars 2017 sous le nom de MS17-010. Cette mise à jour couvre toutes les versions du système d’exploitation de Microsoft postérieures à Windows Vista, dont Windows Vista, même si ce dernier qui arrivait en fin de vie.

Les Shadow Brokers entrent dans la danse

Le 14 avril 2017, un mois plus tard, le groupe de hackeurs The Shadow Brokers – une référence au jeu vidéo Mass Effect – fait fuiter EternalBlue et DoublePulsar sur Internet avec d’autres outils de piratage de la NSA, notamment utilisés par l’agence pour s’attaquer à des machines Windows et à des banques. Les Shadow Brokers, qui tirent leur nom d’un personnage du jeu Mass Effect, ont fait leur apparition en 2016 avec la publication d’une masse d’outils de piratage de la NSA, dont plusieurs failles 0-day. Leur identité est incertaine, mais des spéculations les attribuent tantôt à un insider de la NSA, tantôt à la Russie.Dans le jeu Mass Effect, le Shadow Broker est un marchand qui vend des informations confidentielles au tarif le plus élevé possible.

Le fait que Microsoft ait déjà publié un patch a-t-il rendu la publication d’EternalBlue inutile ? Pas si vite. Les utilisateurs comme les administrateurs réseau tardent souvent à mettre à jour leurs machines. Ainsi, au moment des fuites des Shadow Brokers, beaucoup d’ordinateurs sont encore vulnérables. Le champ est alors libre pour que quiconque d’intéressé intente une attaque contre eux. Le 12 mai 2017, l’épidémie WannaCry se déclare.

Les trois ingrédients nécessaires au bon malware

Dans le monde physique, quand vous êtes à la tête d’une armée qui veut envoyer des missiles sur l’ennemi, il vous faut trois éléments. Vous avez besoin de rampes de lancement bien placées par rapport au territoire adverse. Ensuite d’une tête explosive qui causera les dégâts. Et enfin d’un vecteur, le corps du missile qui portera la tête jusqu’à la cible. Quand on veut lancer un virus dans le cyberespace, c’est pareil : vous avez besoin d’ordinateurs cibles pour lancer la propagation du virus. Ce sont vos rampes de lancement. Puis utiliser un exploit pour s’introduire par une faille. Ce sont les vecteurs. Enfin, l’objectif est de causer le maximum de dégâts sur la cible. C’est la tête explosive.Une lance de rampement mobile, un vecteur et une tête. Tous les éléments d’un bon malware en une image. Crédit image : Wikimedia

Vous connaissez déjà l’exploit : c’est EternalBlue couplé à DoublePulsar. Passons au mode de propagation. Quand la NSA utilisait EternalBlue, c’était pour pirater de manière ciblée des machines individuelles. Les créateurs de WannaCry, de leur côté, ont couplé EternalBlue à un bout de code de façon à en faire un ver, un virus auto-réplicant. WannaCry est un ver réseau, c’est-à-dire qu’il contamine tous les ordinateurs connectés au même réseau que la machine infectée. Sa propagation ne nécessite pas d’interaction humaine : nul besoin d’ouvrir la pièce jointe d’un e-mail comme dans le cas d’ILOVEYOU, ni même de brancher physiquement une clé USB contaminée à une machine, comme dans le cas de Stuxnet. Au-delà du seul réseau local, WannaCry scanne Internet pour trouver des ports SMB vulnérables à EternalBlue.

Windows 7, la principale victime de l’infection

En général, les systèmes d’exploitation les plus vulnérables aux exploits divers et variés sont aussi les plus anciens. Les analystes s’attendaient donc à ce que les machines les plus atteintes soient celles sous Windows XP, système d’exploitation alors vieux de 16 ans et encore très présent dans les administrations voire les entreprises. Selon une analyse de Kaspersky Lab, celles-ci ne représentaient en fait qu’un minuscule 0,1 % des ordinateurs atteints. Les véritables victimes ont été celles qui tournaient pour l’écrasante majorité (98 %) sous Windows 7. Même si ces chiffres sont biaisés par le fait qu’ils ne prennent en compte que les ordinateurs dotés d’antivirus Kaspersky, d’autres analyses confirment une nette prépondérance de machines sous Windows 7 infectées. La firme de cybersécurité Kryptos Logic conclut après tests qu’il est pratiquement impossible de propager WannaCry avec un Windows XP, le vieux système d’exploitation ayant trop tendance à planter.

Une fois la machine pénétrée, entre en jeu la charge explosive du missile WannaCry. C’est celle d’un ransomware, un virus qui « prend en otage » les données présentes sur l’ordinateur en les chiffrant avec une clé que seul lui possède, les rendant inaccessibles à l’utilisateur. Ce dernier, en allumant sa machine, ne voit alors plus qu’un message lui demandant de payer une rançon. Dans le cas de WannaCry, il était demandé aux victimes  de payer une somme de 300 dollars dans les trois jours ou 600 dollars dans la semaine, à envoyer sur une adresse bitcoin (wallet). Ce n’est qu’une fois la rançon payée que le virus déchiffre les données et disparaît de la machine. Les cibles privilégiées des ransomware sont les administrations publiques et les entreprises, dotées de plus de fonds que les particuliers et ayant plus de données sensibles sur leurs ordinateurs.Le fameux écran de Wannacry demandant une rançon à l’utilisateur.

Démarrée le 12 mai, l’attaque se poursuit jusqu’à la découverte d’une solution le 15 mai, sujet que nous aborderons la semaine prochaine dans un nouvel article. Pendant ces quatre jours, plus de 200 000 ordinateurs dans 150 pays sont affectés, avec des pertes économiques estimées entre quelques centaines de millions et plusieurs milliards de dollars. D’après Kaspersky Lab, le pays le plus touché serait de très loin la Russie, suivi par l’Ukraine, l’Inde et Taïwan. Les trois wallets sur lesquels ont été versées les rançons sont vidés par leurs propriétaires début août pour un total d’environ 140 000 $. Comme souvent avec les cryptomonnaies, il est très difficile de déterminer l’identité des détenteurs des wallets.

Pendant ces quatre jours, plus de 200000 ordinateurs dans 150 pays sont affectés

Au Royaume-Uni, les systèmes de santé du National Health Service (NHS) ont été particulièrement affectés. La population est invitée à repousser toute consultation de médecins sauf en cas d’urgence. Le traitement des patients en hôpital n’est pas affecté d’une façon pouvant les mettre en danger, mais les ordonnances et dossiers médicaux ne sont plus accessibles pendant les jours qu’a duré l’attaque. L’affaire prend rapidement une coloration politique, dans un contexte où le manque de financements du NHS est critiqué par l’opposition britannique.

L’épidémie se termine au bout de quatre jours grâce aux efforts de la cyberdéfense. En particulier, il émerge que WannaCry dispose d’un « kill switch », un mécanisme permettant d’empêcher à distance l’infection de nouvelles machines. C’est ce de quoi nous vous parlerons la semaine prochaine.

Article publié initialement le 2 december 2018