WannaCry, un an après : un virus trop simple à désactiver
Le virus WannaCry s’est illustré par sa propagation fulgurante et les dégâts qu'il a causés.
Pour tout comprendre sur le virus Wannacry, voici tous nos dossiers :
WannaCry, un an après (Partie 3) : des représailles étaient-elles possibles ?
WannaCry, un an après (Partie 4) : les mesures prises par les acteurs touchés
Le kill switch
La solution à l'attaque est trouvée dès le 12 mai 2017, jour même du début de l’attaque. Marcus Hutchins est un expert en cybersécurité britannique de 22 ans, bloguant sous le pseudonyme de MalwareTech. Son employeur, la firme de sécurité Kryptos Logic, le charge entre autres de surveiller la progression des botnets -- des machines infectées, généralement des objets connectés, qui se connectent en masse à des sites Web pour causer des attaques en déni de service.
Quand il apprend la cyberattaque en cours contre les hôpitaux de la NHS, MalwareTech se penche sur le virus impliqué dans l'épidémie. Il décortique un spécimen de WannaCry déniché par un de ses confrères et s’aperçoit que le ver tente de se connecter à un certain nom de domaine — un site Web au nom illisible, iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com.
Il débourse une dizaine d'euros pour acheter le nom de domaine, qui enregistrait des milliers de connexions par seconde. « Le but était juste de surveiller la propagation [du virus] pour voir si on pouvait y faire quelque chose plus tard », explique-t-il au journal The Guardian. « Mais on a en fait arrêté la propagation juste en réservant le nom de domaine. »
https://twitter.com/MalwareTechBlog/status/863187104716685312
En effet, le nombre de nouvelles infections chute alors de façon spectaculaire. Le nom de domaine en question est un kill switch, un interrupteur caché dans le virus permettant à ses créateurs de stopper sa diffusion à distance. En s'installant sur une nouvelle machine, WannaCry tente de se connecter au nom de domaine ; si ce dernier ne répond pas, il finit d'infecter l'ordinateur. Cette procédure permet au virus de vérifier qu'il se trouve bien en conditions réelles, et non pas en laboratoire chez ses créateurs ; cela évite au ver de devenir hors de contrôle lors des phases de test de sa conception.
Une fois acheté par MalwareTech, le site Web s'est mis à répondre, stoppant toutes les nouvelles installations. Le jeune expert ne comprend initialement pas la portée de ce qu'il vient de faire et croit brièvement avoir au contraire favorisé la propagation du virus. Avec ses collègues de Kryptos Logic, il connecte le nom de domaine à un DNS sinkhole, une sorte de trou noir dans le grand annuaire des sites Web où toute requête qui rentre ne ressort jamais.
Les nouvelles vagues
La première vague est ainsi stoppée dans la journée. Tous s'attendent cependant à ce que les créateurs du virus reviennent à la charge avec un ver modifié, insensible à cette parade. Le lendemain, une nouvelle version de WannaCry se déclare... dotée du même kill switch, pointant simplement sur une nouvelle adresse écrite en clair dans le code. Le chercheur en cybersécurité Matthieu Suiche, un Français basé à Dubaï, répète la procédure de MalwareTech et bloque la deuxième vague. « Je ne vois aucune explication évidente à pourquoi il y a encore un kill switch », dit-il. Il aurait en effet été très simple de coder un WannaCry qui se connecterait à une adresse aléatoire...!
https://twitter.com/msuiche/status/864022459854487552
Peu après sa mise en place, le sinkhole de MalwareTech fait l'objet d'attaques en déni de service (DDoS) de la part d'attaquants non identifiés. Ceux-ci tentent de relancer l'épidémie en rendant le nom de domaine de nouveau inaccessible. Ils utilisent pour cela une variante du botnet Mirai, qui avait mobilisé les capacités d'objets connectés piratés pour causer des attaques très remarquées en septembre 2016.
Le 17 mai, le pic de la DDoS atteint un volume de 20 Go par seconde, soit vingt fois plus qu'une DDoS moyenne. Cela reste cinquante fois moins que ce que Mirai avait infligé en son temps à Dyn, le fournisseur de DNS. Le sinkhole reste en ligne. « Ce ne sont pas les développeurs du ransomware, estime MalwareTech. N'importe quel idiot avec son chien peut mettre en place un botnet Mirai [...] ils font ça juste pour faire du mal. »
Après quelques autres variantes de WannaCry similaires à l'original, Kaspersky note l'émergence en fin de compte d'un « WannaCry 2.0 » dépourvu de kill switch. Celui-ci aurait été créé par des hackeurs tiers sans rapport avec les commanditaires du virus, dans un mouvement dit de « copycat ». Le seul moyen de stopper sa propagation est alors celui préconisé par Microsoft depuis avant même le début de l'épidémie : patcher les ordinateurs.
Après l'épidémie
La progression du virus est stoppée au bout de quelques jours, mais des centaines de milliers d'ordinateurs sont toujours atteints et chiffrés. Un Français, Adrien Guinet, met au point une méthode appelée WannaKey permettant de retrouver ses données sous certaines conditions assez strictes. Il faut en effet que l'ordinateur infecté tourne sous Windows XP, ce qui ne représente qu'une faible fraction des cas, et que la machine n'ait pas été éteinte et rallumée depuis son infection. WannaKey exploite une faille de Windows XP, qui oublie de vider intégralement la mémoire vive de l'ordinateur, ce qui peut permettre de récupérer la clé de chiffrement utilisée par le virus. Dans la journée, deux autres Français, Benjamin Delpy et Matthieu Suiche, transposent la méthode à Windows 7 sous le nom de WanaKiwi.
Quant à MalwareTech, son auréole de héros contre WannaCry ne dure pas longtemps pour les autorités américaines. En août 2017, alors qu'il se trouve à Las Vegas pour assister aux conférences de cybersécurité Black Hat et DEFCON, il est arrêté et accusé d'être à l'origine d'un virus nommé Kronos. Créé en 2014, ce cheval de Troie récupère les données bancaires de ses victimes et se marchande pour plusieurs milliers de dollars dans les milieux du cybercrime.
https://twitter.com/MalwareTechBlog/status/1028746655783251968
Marcus Hutchins ici accompagné d'un-e furry.
Depuis, MalwareTech vit à Los Angeles en liberté conditionnelle, et fait l'objet de nouvelles accusations depuis l'été dernier concernant un autre logiciel malicieux qu'il aurait écrit. Les poursuites contre MalwareTech suscitent une certaine inquiétude dans le milieu de la cybersécurité, car certaines pratiques reprochées à l'attaquant font partie de l'exercice normal de la profession.
Un ransomware d'amateur
Au-delà de la présence du kill switch, l'autre faiblesse frappante de WannaCry se trouve dans son mécanisme de rançon. On rappelle que le principe d'un tel virus est de chiffrer les données présentes sur l'ordinateur infecté, puis d'exiger de l'utilisateur qu'il paye une rançon afin de procéder au déchiffrement. Mais comme le résume à WIRED Magazine l'ingénieur Craig Williams de Cisco, WannaCry c'est « beaucoup de dégâts, une très forte médiatisation surtout du côté de la police, et probablement la plus faible marge de profit qu'on ait vu dans une campagne de ransomware même de faible ampleur ».
La procédure de paiement de la rançon ne permet même pas d'identifier quel ordinateur a payé les bitcoins demandés, ce qui voudrait dire que le déchiffrement de chaque machine serait lancé manuellement par les attaquants — une procédure intenable considérant les centaines de millions d'appareils infectés. Des chercheurs de Cisco ont découvert que le bouton « vérifier le paiement », présent sur l'interface utilisateur de WannaCry, ne fait qu'afficher aléatoirement trois faux messages d'erreur et un faux message confirmant que le paiement a été effectué. Certains avancent même l'hypothèse selon laquelle les hackeurs enverraient des clés de déchiffrement au hasard aux victimes qu'elles aient ou non payé la rançon.
Or, le principe entier du ransomware fonctionne sur une notion de confiance. Aussi étonnant que cela puisse paraître, il faut que les utilisateurs ciblés soient sûrs que les attaquants déchiffreront leurs fichiers pour qu'ils leur donnent de l'argent. Imaginez qu'un groupe armé capture des otages et demande une rançon, mais tue les otages après que la rançon ait été reçue : personne ne voudra plus leur payer de rançon ensuite.
Un montant collecté dérisoire
Résultat : la quantité d'argent récoltée par les hackeurs ne s'élève qu'à 140 000 dollars. C'est dérisoire en comparaison du ransomware Angler, pourtant bien moins médiatisé, qui avait amassé 60 millions de dollars sur un an avant d'être éradiqué en 2015. « Vous penseriez qu'il faudrait qu'ils soient des codeurs de génie pour arriver à intégrer des exploits de la NSA. En vrai, c'est la seule chose qu'ils savent faire, et à part ça ce sont des cinglés », commente Rob Graham, un consultant pour Errata Security.
Lors de l'étape de la collecte de la rançon, les attaquants n'ont même pas pris les précautions d'usage pour couvrir leurs traces. WannaCry demande d'envoyer de l'argent en bitcoin sur trois adresses de cryptomonnaies (wallets) fixes, au lieu d'avoir un wallet unique par victime. Or, dans la plupart des cryptomonnaies dont le bitcoin, les transactions ne sont pas chiffrées et sont au contraire publiquement accessibles -- le préfixe « crypto » fait simplement référence aux outils mathématiques employés dans la blockchain.
Cela facilite le travail des enquêteurs pour retrouver les traces financières des hackeurs. Néanmoins, on suppose que les rançons ont été « blanchies » après que les wallets furent vidés par leurs propriétaires début août 2017. Le procédé utilisé pourrait être un bitcoin mixer, un wallet d'où entrent et sortent d'abondants flux financiers sans que l'on sache ce qui va à qui.
Si les motivations de WannaCry n'étaient pas financières, étaient-elles politiques ? Qui est donc derrière le virus ? Nous verrons cela au prochain épisode, où les regards se tournent vers la Corée de Nord.