Bonjour à tous et bienvenue dans le ZDTech, le podcast quotidien de la rédaction de ZDNet. Je m’appelle Louis Adam et aujourd’hui, je vais vous expliquer pourquoi l’épidémie du rançongiciel Wannacry a fait date dans l’histoire de la sécurité informatique.

Le 12 mai 2017, de nombreux administrateurs systèmes voient rouge. La cause ? Le ransomware Wannacry, qui commence ce matin là à infecter des ordinateurs à travers le monde. Pour les victimes, le résultat est toujours le même : l’ordinateur affecté et les données qu’ils contient deviennent inaccessible et un écran rouge s’affiche, demandant le paiement d’une rançon en bitcoin pour récupérer l’accès aux données. 

En 2017, les rançongiciels sont une menace connue. Mais Wannacry se distingue par sa vitesse de prolifération : en l’espace d’une journée, on estime que le logiciel aurait infecté un peu plus de 200 000 machines dans plus de 150 pays. Et tout le monde semble visé, de la PME aux grands hôpitaux britanniques. 

Dans cette situation, la réaction ne se fait pas attendre. Microsoft diffuse rapidement un correctif de sécurité visant à combler l’une des vulnérabilités utilisées par Wannacry pour se propager. Des chercheurs analysent le logiciel malveillant et découvrent également un « killswitch », un mécanisme prévu par les concepteurs de Wannacry pour stopper sa propagation. Celui ci est activé et parvient à ralentir la diffusion du logiciel pendant quelques heures, avant que de nouvelles versions n’apparaissent. 

 Une course contre la montre s’empare du secteur, et le nombre d’infection par Wannacry finit enfin par chuter quelques jours après sa découverte. L’attaque laisse tout de même de nombreuses victimes sur le carreau : les dégâts sont difficiles à estimer mais se comptent en centaines de millions de dollars.

Mais l’efficacité de Wannacry n’est pas due au hasard. Celui ci dispose de fonctionnalités lui permettant de se diffuser très rapidement sur les réseaux de ses cibles. Une vitesse de propagation rendue possible par l’utilisation de deux outils connus sous les noms d’Eternal Blue et de Doublepulsar. 

Il s’agit de logiciels développés par la NSA, l’agence américaine du renseignement, et diffusés publiquement sur le web par le mystérieux groupe des Shadow Brokers au milieu de l’année 2016. Eternalblue exploite notamment une faille de sécurité qui permet à Wannacry de se propager à la vitesse de l’éclair. Cette vulnérabilité avait pourtant été corrigée quelques semaines auparavant, mais rien dans les indications de Microsoft ne laissait penser que ce correctif avait une importance particulière. 

Wannacry a été une implacable démonstration des dégâts que pouvait causer une attaque informatique à très grande échelle. Mais l’affaire pose encore de nombreuses questions : les États Unis ont ainsi accusé la Corée du nord d’être à l’origine de cette attaque. Mais certains chercheurs estiment que les créateurs étaient d’origine chinoise. 

Et l’objectif final des auteurs de WannaCry n’est toujours pas clair, même aujourd’hui. Le montant des rançons récoltées par les attaquants reste faible, de l’ordre de 100 000 dollars selon certains experts. Soit un chiffre dérisoire en regard des dégâts causés. 

Et voilà, normalement on a fait le tour du sujet. Pour en savoir plus, rendez vous sur ZDNet.fr, et retrouvez tous les jours un épisode du ZDTech sur vos plateformes de podcast préférées. 

Hébergé par Ausha. Visitez ausha.co/politique-de-confidentialite pour plus d'informations.