“C’était un accident !”, répète celui qui tweete sous le nom @MalwareTechBlog. En quelques clics, ce jeune employé de la société de sécurité informatique Krytos Logic est devenu le héros du moment. Vendredi 12 mai, il a mis fin à une cyberattaque d’envergure mondiale. “Je me suis levé vers 10 heures, et me suis connecté […]
“C’était un accident !”, répète celui qui tweete sous le nom @MalwareTechBlog. En quelques clics, ce jeune employé de la société de sécurité informatique Krytos Logic est devenu le héros du moment. Vendredi 12 mai, il a mis fin à une cyberattaque d’envergure mondiale.
{"type":"Pave-Haut2-Desktop"}
“Je me suis levé vers 10 heures, et me suis connecté sur la plateforme de partage d’informations sur les menaces informatiques, raconte-t-il sur Malaware Tech. Il y avait quelques posts sur diverses organisations touchées par un logiciel de rançons, mais rien d’important… à ce moment-là.” Lorsqu’il rentre de déjeuner avec un ami, le nombre de messages a explosé. Des hôpitaux de plusieurs régions d’Angleterre sont concernés : “Je me suis dit qu’il s’agissait de quelque chose de gros.”
Une attaque sans précédent
Le logiciel malveillant WanaCrypt0r 2.0 est alors en pleine activité. Ce “rançongiciel” (ransomware) exploite une faille de Microsoft Windows et chiffre les données des ordinateurs infectés. Pour les récupérer, l’utilisateur doit payer 300 dollars. Si un correctif Windows a déjà été diffusé – un “patch”, les ordinateurs qui n’ont pas été mis à jour depuis ont pu être touchés par la cyberattaque.
Selon Europol, l’attaque s’est répandue à grande vitesse pour faire “200 000 victimes, essentiellement des entreprises, dans au moins 150 pays”. Le constructeur automobile Renault, des universités en Grèce et en Italie, l’entreprise américaine FedEx et le système de santé britannique ont été touchés. Dans les centres de santé anglais, opérations, radios et tests ont été annulés, les dossiers des patients étant inaccessibles.
Antidémarreur
C’est alors @MalwareTechBlog qui appuie, sans le faire exprès, sur le bouton off du logiciel. Il s’en procure une copie et se penche sur son code. “En l’analysant, j’ai tout de suite remarqué qu’il contenait une adresse de domaine non attribuée”. Une suite de caractères sans logique, finissant en “.com”. Par réflexe, il l’achète. Il remarque alors que les milliers de connexions qui mènent vers sa page nouvellement acquise ralentissent, sans comprendre pourquoi.
“Mon intention était de surveiller la propagation pour voir si on pourrait y faire quelque chose par la suite. Mais nous avons en fait stoppé la diffusion, rien qu’en acquérant le nom de domaine”, explique-t-il au Guardian. Il croit d’abord avoir aggravé la situation et provoqué un chiffrement des données à grande échelle. “On s’est rendu compte par la suite que ce n’était pas le cas, mais ça a tout de même causé une belle frayeur.”
Sécurité ou négligence ?
Aidé de Darien Huss, un autre expert en cybersécurité, ils se rend compte que l’activation du nom de domaine a tué le logiciel. Jusqu’alors, les ordinateurs se connectaient automatiquement à l’URL mentionnée dans le code source. Tant que celle-ci ne répondait pas, les données étaient chiffrées et inaccessibles pour l’utilisateur. L’activation du domaine a annulé cette procédure et mis un coup d’arrêt à l’épidémie.
https://twitter.com/MalwareTechBlog/status/863187378705510400
S’agissait-il d’une sécurité mis en place par les créateurs du ransomware pour garder un contrôle sur leur création ? @MalwareTechBlog, y voit plutôt une négligence qu’ils auront tôt fait de corriger. “Désormais, je peux ajouter “a stoppé accidentellement une cyberattaque internationale” sur mon CV”, s’amuse-t-il sur Twitter. Sans oublier d’invier les internautes à“patcher” leurs ordinateurs, car si WanaCrypt0r 2.0 a été largement freiné, des variantes du logiciel ont été repérées dans le week-end.
{"type":"Banniere-Basse"}
