Le vendredi 12 mai 2017, une gigantesque attaque informatique avait frappé le monde. Des pirates – probablement nord-coréens – avaient lâché sur Internet un ransomware ultravirulent baptisé WannaCry. Il s’appuyait sur des outils volés à la NSA pour se diffuser à la vitesse de l’éclair. En quelques heures, des centaines de milliers d’ordinateurs Windows ont cessé de fonctionner : PC de bureau, panneaux publicitaires, écrans de contrôle ferroviaires, bornes d’informations, guichets automatiques, etc.
L’attaque a rapidement pu être maîtrisée grâce au génie de Marcus Hutchins, un chercheur en sécurité de la société Kryptos Logic, qui a découvert dans le code de ce malware un « kill switch ». Pour empêcher le blocage des machines, il suffisait de mettre en ligne un site web avec le nom de domaine:
iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com
En effet, à chaque fois que WannaCry s’introduit sur un nouvel ordinateur, il tente de se connecter à ce domaine et ne va chiffrer les données que s’il ne parvient pas à établir de connexion. En mettant en ligne ce site, M. Hutching a donc évité la catastrophe.
Un « trafic dingue »
Pour autant, le risque destructeur de WannaCry n’est pas totalement éliminé. Même si le chiffrement n’est plus activé, il s’avère qu’un grand nombre d’ordinateurs continuent d’être infectés. Jamie Hankins, un collègue de Marcus Hutchins, a récemment analysé le trafic reçu par le kill switch. En l’espace d’une semaine, il a enregistré 17 millions de connexions de 639.507 adresses IP uniques réparties dans 194 pays. Les ordinateurs infectés se trouvent principalement dans les pays en voie de développement : Chine, Indonésie, Vietnam, Inde, Russie, Venezuela, etc. « La quantité de trafic que nous continuons de recevoir est dingue », estime Jamie Hankins.
First Graph: Breakdown of Unique IPs per a country
Second Graph: beacons over a week period (massive dips over the weekend) pic.twitter.com/Gib78zt0NK— Jamie Hankins (@2sec4u) December 21, 2018
Toutes ces infections sont sans conséquence, mais seulement si le fameux kill switch reste accessible. En cas de panne Internet, les données des ordinateurs infectées seront chiffrées, comme il y a un an et demi. En d’autres termes, la sécurité de tous ces systèmes ne tient qu’à un fil. Il serait préférable de les mettre à jour pour que l’infection ne puisse même plus avoir lieu. A l’époque, Microsoft avait bien publié un patch, mais il n’a pas été installé partout comme on peut le constater.
Ce scénario n’est pas une théorie. Il arrive régulièrement que des entreprises soient victimes d’une infection virulente de WannaCry. Cela arrive même aux meilleurs. Ainsi, Boeing a été confronté à une telle attaque en mars 2018.
Source : BleepingComputer
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
