carte blanche

Préparez-vous d'ores et déjà à d'autres WannaCry

École Polytechnique, ULB.

Beaucoup d'entreprises britanniques auraient déjà un compte Bitcoin pour parer à un ransomware. Et pour cause : 47% des rançons sont effectivement payées.

Par Charles Cuvelliez et Jean-Michel Dricot,
École Polytechnique de Bruxelles - ULB, master en cybersécurité

Qui l’aurait cru? Voilà donc Microsoft qui suggère d’inscrire les cyberarmes dans la convention de Genève, au même titre que les armes chimiques, car elles font davantage de tort aux civils. L’entreprise américaine invite ainsi les États à coopérer, comme dans le nucléaire, contre leur prolifération. C’est que le virus informatique WannaCry, qui s’est récemment répandu à travers le monde, serait basé sur une faille de son célèbre logiciel Windows; faille découverte pas la NSA et gardée secrète.

Sa divulgation par un chercheur avait amené Windows à proposer un correctif dès le mois de mars. Pour autant, nombre de grandes entreprises ne l’avaient pas installé.

À l’évidence, ceux qui ont continué à utiliser XP (une version du logiciel Windows officiellement morte depuis 2014) frisent l’inconscience. Quant aux autres versions de Windows qui ont été impactées, elles posent inévitablement la question des mises à jour, toujours plus nombreuses à gérer pour les entreprises. Car pour elles, déployer des mises à jour, cela se planifie, cela se teste au cas où d’autres programmes critiques réagiraient mal.

Partie gagnée

Si au final quelque 200.000 machines "seulement" ont été infectées par WannaCry, les pirates ont tout de même gagné la partie compte tenu de la panique déclenchée et des heures de travail perdues à inspecter le parc informatique. Et puis, qui peut jurer ne pas avoir oublié un équipement, une machine dans un local perdu qui tourne encore depuis 10 ans avec Windows XP?

L’attaque a finalement été stoppée par un chercheur qui a constaté que WannaCry contactait un site inexistant. Il s’agit d’une tactique généralement utilisée par les virus pour savoir s’ils ont été détectés ou non. Dans ce cas, toutes leurs communications sont interceptées pour éviter des fuites de données. En pratique, dès que WannaCry constate que ce site lui répond, il se sait découvert et cesse toute activité.

Le tiers des attaques informatiques

En 2016, les entreprises sont devenues la cible privilégiée des ransomwares qui ont représenté 31% des attaques informatiques. Ces derniers commencent toujours par essaimer le réseau interne, via des instructions à la portée de tous sur Windows, en quête d’un maximum d’ordinateurs à contaminer.

©EPA

La rançon moyenne est ainsi passée de 294 $ en 2015 à 1077 $ en 2016. Il y a aussi davantage de nouvelles familles de ransomwares (101 en 2016 contre 30 en 2014 et 2015) et pas que des variantes. C’est donc bien le signe de nouveaux arrivants sur ce marché en plein essor.

Comment cela fonctionne-t-il? Simple: un utilisateur imprudent ou distrait (il en suffit d’un) finit par ouvrir une pièce jointe d’un mail plus vrai que nature. Un petit bout de programme se télécharge ou en fait venir un autre qui va "chiffrer" tous les fichiers. L’utilisateur n’est, lui, averti qu’une fois le mal fait et le programme s’autodétruit pour effacer les traces. Certains ransomwares détectent même les back-up en cours.

Beaucoup d’entreprises britanniques auraient déjà un compte Bitcoin pour parer à un ransomware. Et pour cause: 47% des rançons sont effectivement payées.

La plupart du temps, les rançons se paient en cryptomonnaies souvent bien plus anonymes que le Bitcoin. Citrix prétend d’ailleurs à ce sujet que beaucoup d’entreprises britanniques auraient déjà un compte Bitcoin pour parer cette éventuelle perspective. Et pour cause: à en croire la société antivirus Norton, 47% des rançons sont effectivement payées.

Plus cela se sait, mieux c’est

Le "succès" mondial de WannaCry a éclipsé une nouveauté apparue l’an dernier: les attaques ciblées autopromotionnelles, c’est-à-dire qui font tout pour que cela se sache. Les Macronleaks en sont un bon exemple.

Ces attaques qui visent à exfiltrer des données auraient pourtant intérêt à rester discrètes pour durer. Rien de tel toutefois ici. Plus cela se sait, plus le vol est exposé, mieux c’est, quitte à y ajouter des faux.

Le caractère subversif prime donc. Il s’agit de donner le sentiment que quelque chose ne tourne pas rond puisque le fondement même des démocraties, à savoir les élections, ne serait plus assuré correctement. On notera au passage que seules les démocraties occidentales sont inquiétées par ces attaques (et pas les démocraties "non libérales" ni les "démocratures", démocratie + dictature).

Dans l’affaire du piratage de la boîte gmail du directeur de campagne de Hillary Clinton, c’était un mail prétendant que son compte Google avait été piraté avec un lien à cliquer pour effectuer un "reset" du mot de passe qui avait tout déclenché. Cet e-mail imitait à merveille ce que Google enverrait pour vous alerter d’un accès non-autorisé à votre compte. Sauf que le lien va par exemple pointer vers un support "qooqle.com" au lieu de "google.com".

Le pirate derrière "support.qooqle.com" n’a plus ainsi qu’à attendre tranquillement vos login/mot de passe et même le code reçu par SMS pour les retaper sur le site légitime. Quant aux données, elles vont "fuiter" vers les mêmes clouds que ceux de la société (il n’y en a pas des milliers) de façon à ne pas donner l’alerte en ouvrant des canaux bizarres sur internet.

Ces attaques via e-mail et liens à cliquer sont si simples à mettre en œuvre qu’elles ne s’arrêteront pas de sitôt. De fait, il y aura toujours quelqu’un pour cliquer…

Et demain, ce seront les comptes de messagerie qui seront ciblés car, à l’exemple de "WeChat", on y paiera, on y réalisera ses achats, on y fera son administration, un modèle qui fait rêver Facebook… et saliver les hackers.

Lire également

Messages sponsorisés