WannaCry : tout savoir sur ce logiciel rançonneur

WannaCry est un ransomware responsable en 2017 d’avoir causé des dégâts atteignant des milliards de dollars. Une faille de sécurité sous Windows a permis cette attaque touchant même des instances officielles et des grands groupes.

Qu’est-ce que WannaCry ?

En mai 2017 s’est produit l’une des plus graves attaques commises par un ransomware, une attaque que le monde n’avait jusqu’alors jamais connue. Le logiciel malveillant utilisé portait plusieurs noms et a notamment été appelé Wana Decrypt0r 2.0, WannaCrypt, WCRY ou Wcrypt. À ce jour, le nom le plus connu de cette cyberattaque est toutefois WannaCry. Bien plus de 230 000 ordinateurs dans près de 150 pays ont été attaqués et leurs données ou l’intégralité des systèmes d’exploitation verrouillés. Les utilisateurs devaient donc payer une rançon en bitcoins pour déverrouiller les données concernées. Les instances officielles déconseillèrent toutefois de verser cette rançon, quelle que soit la situation.

La « porte d’entrée » utilisée par WannaCry était une faille de sécurité de Windows nommée MS17-010. Cette faille a été exploitée au moyen de l’exploit EternalBlue. Cette technologie aurait été développée par les services de renseignement américains de la NSA qui l’auraient utilisée pendant plusieurs années pour leurs propres fins. Dans un premier temps, suite à la publication de la faille par un groupe de hackers, Microsoft a appris le problème et tenté de le résoudre dès mars 2017 à l’aide d’un correctif de sécurité. Ce correctif n’étant pas compatible avec tous les systèmes, de nombreux utilisateurs n’exécutèrent pas la mise à jour. WannaCry, le successeur d’EternalBlue, a ainsi pu se propager quasiment librement deux mois plus tard.

Quel est l’objectif de WannaCry ?

WannaCry verrouille les fichiers importants et exclut donc les utilisateurs. Ces derniers reçoivent alors un message les informant que leurs données sont retenues en otage. L’objectif des pirates derrière WannaCry est l’argent. Les victimes de l’attaque de 2017 devaient payer 300 dollars américains pour débloquer leurs données. Si elles ne transféraient pas l’argent dans le délai imparti, l’exigence doublait. Étant donné que WannaCry se multipliait de manière indépendante et pouvait passer d’un réseau à un autre grâce à un protocole de partage de fichiers, le gain potentiel a lui aussi bondi en peu de temps. En 2017, plusieurs dizaines de milliers d’ordinateurs ont ainsi été infectées par heure. Même après le versement de la rançon, probablement aucune donnée n’a été déverrouillée.

Quel est le volume de dommages causé par WannaCry ?

Il est difficile de chiffrer précisément les dommages causés par WannaCry. Les experts avancent la somme de plusieurs milliards de dollars américains. Ce chiffre considérable n’est toutefois pas imputable uniquement aux seules rançons. Outre des particuliers, WannaCry a également ciblé de nombreuses entreprises, instances officielles et organismes publics, et a totalement bloqué leurs systèmes temporairement. Par exemple, le NHS (système de santé britannique) a été tellement affecté que de nombreuses opérations importantes ont dû être reportées, les dossiers médicaux électroniques des patients n’étaient plus accessibles et les ambulances recevaient des informations erronées. Plus de 30 pour cent de la totalité des hôpitaux du NHS ont temporairement été attaqués par WannaCry.

En Allemagne, c’est la Deutsche Bahn qui a principalement été affectée par WannaCry. Les tableaux de signalisation et la surveillance vidéo sont ainsi tombés en panne dans de nombreuses gares. Des problèmes similaires ont été constatés au sein de la société ferroviaire russe. En Espagne, WannaCry a entraîné des restrictions sur le réseau téléphonique de Telefónica. Parmi les autres entreprises durement touchées figurent entre autres FedEx, Honda et Renault. En outre, le ministère des Affaires étrangères roumain a été attaqué, tout comme des universités de Montréal et Thessalonique, ainsi que le tribunal de São Paulo. Nous partons du principe que tous ces groupes et institutions n’avaient pas mis à jour en temps voulu leurs systèmes. Avant que les mises à jour requises n’aient pu être exécutées, WannaCry avait déjà frappé.

WannaCry représente-t-il encore un danger ?

Heureusement, l’attaque massive de 2017 n’a duré que quelques jours. Alors qu’il examinait WannaCry, l’expert britannique en cybersécurité Marcus Hutchins a découvert une sorte de bouton d’arrêt d’urgence qui avait été dissimulé, volontairement ou par erreur, dans le code du logiciel malveillant. Le chercheur a ainsi pu enregistrer un domaine qui arrêtait WannaCry. Le danger n’est pourtant pas encore totalement écarté. Des versions récentes de WannaCry circulent encore et sont envoyées sans le bouton d’arrêt d’urgence. Étant donné qu’elles exploitent toutes la même faille de sécurité de Windows, le danger de ce type de logiciel malveillant peut au moins être limité. D’autres logiciels malveillants sont en revanche bien plus dangereux.

Comment se protéger contre des ransomwares, comme WannaCry ?

Bien que les ransomwares évoluent en permanence, il existe des tactiques efficaces grâce auxquelles vous pouvez protéger votre système des attaques de WannaCry ou de ses successeurs. Il est ainsi possible d’écarter les ransomwares. Vous devez toutefois impérativement respecter les consignes suivantes :

• Tenir à jour : tenez toujours votre système à jour. Vous évitez ainsi non seulement que votre ordinateur ne soit ralenti à un moment donné, mais fermez également la majorité des portes d’entrée de WannaCry et d’autres logiciels malveillants. Le ransomware décrit dans cet article utilisait une porte d’entrée que Microsoft a en principe déjà fermée. Seul un ordinateur sur lequel le correctif de sécurité n’est pas (encore) installé peut être infecté.
• Logiciel de sécurité : protégez votre système à l’aide d’un pare-feu approprié et utilisez impérativement un logiciel antivirus adapté. Ainsi, outre les ransomwares, les spywares et scarewares seront également détectés de manière précoce.
• Contrôler les sources : n’ouvrez jamais un email dont vous ne connaissez pas l’expéditeur et ne cliquez sur aucun lien vous semblant suspect. Pour les clés USB et autres supports externes de stockage de données, vous devez également faire preuve de prudence et brancher ces périphériques seulement si vous savez quels contenus y sont enregistrés.
• Sauvegardes : exécuter des sauvegardes régulières n’empêche certes aucune attaque par ransomware de se produire, mais si vous en êtes victime, les dommages sont alors considérablement réduits. En effet, en cas de verrouillage, vous pouvez réinstaller le système et accéder à une version précédente. Il existe également des logiciels spécifiques qui exécutent automatiquement et régulièrement des sauvegardes.