Qu'est-ce que WannaCry ?

WannaCry, également connu sous le nom de WannaCrypt, est une forme de ransomware qui a fait la une de l’actualité mondiale en mai 2017 en raison de son impact généralisé et destructeur. Un ransomware est un type de logiciel malveillant qui chiffre les fichiers d’une victime, les rendant inaccessibles jusqu’à ce qu’une rançon soit versée à l’attaquant.

L’attaque du ransomware WannaCry a été d’une ampleur sans précédent, affectant des centaines de milliers d’ordinateurs dans plus de 150 pays. Il a exploité une vulnérabilité du système d’exploitation Windows de Microsoft, en particulier du protocole Server Message Block (SMB). Cet article se penche sur les détails de WannaCry, ses origines, son fonctionnement, son impact et la manière de se protéger contre de telles attaques.

Origine de WannaCry

Le ransomware WannaCry aurait été créé par le Lazarus Group, un groupe de cybercriminels lié à la Corée du Nord. Ce groupe a été associé à plusieurs cyberattaques très médiatisées, dont le piratage de Sony Pictures en 2014 et celui de la banque du Bangladesh en 2016.

Le ransomware s’appuie sur un exploit connu sous le nom d’EternalBlue, qui aurait été développé par l’Agence nationale de sécurité des États-Unis (NSA). L’exploit a été divulgué par un groupe appelé The Shadow Brokers en avril 2017, un mois avant l’attaque WannaCry.

Les Shadow Brokers

The Shadow Brokers est un groupe de pirates informatiques qui est apparu pour la première fois à l’été 2016. Ils sont connus pour avoir divulgué des exploits, des outils de piratage et d’autres informations classifiées prétendument volées à la NSA. L’identité et les motivations du groupe restent inconnues, mais leurs actions ont eu d’importantes répercussions à l’échelle mondiale.

L’exploit EternalBlue divulgué par les Shadow Brokers était un élément clé du ransomware WannaCry. Il a permis au ransomware de se propager rapidement sur les réseaux, en infectant plusieurs ordinateurs sans interaction de la part de l’utilisateur.

Comment fonctionne WannaCry ?

WannaCry est un ransomware vermoulu, c’est-à-dire qu’il peut se propager sur les réseaux. Une fois qu’il a infecté un ordinateur, il chiffre les fichiers de l’utilisateur et affiche un message de rançon, exigeant un paiement en bitcoins pour obtenir la clé de décryptage.

Le ransomware utilise les algorithmes de chiffrement RSA et AES pour verrouiller les fichiers. RSA, un système de cryptage à clé publique, est utilisé pour crypter la clé de cryptage AES. La clé AES est ensuite utilisée pour chiffrer les fichiers de l’utilisateur. Sans la clé privée RSA détenue par l’attaquant, la clé AES ne peut pas être décryptée, et les fichiers restent donc verrouillés.

L’exploit EternalBlue

L’exploit EternalBlue cible le protocole SMB du système d’exploitation Windows de Microsoft. SMB est utilisé pour partager l’accès aux fichiers, aux imprimantes et à d’autres ressources sur un réseau. L’exploit permet à l’attaquant d’exécuter un code arbitraire sur le système cible, fournissant une passerelle au ransomware pour s’infiltrer dans le système.

Une fois à l’intérieur, WannaCry utilise un autre outil, connu sous le nom de DoublePulsar, pour installer et exécuter une copie de lui-même. DoublePulsar est un outil d’implantation de porte dérobée qui a également été divulgué par The Shadow Brokers. Il permet à l’attaquant de conserver un accès permanent au système et d’exécuter des charges utiles malveillantes.

Impact de WannaCry

L’attaque du ransomware WannaCry a eu un impact mondial significatif, affectant des organisations dans divers secteurs, notamment la santé, la finance et la logistique. L’attaque a provoqué une perturbation généralisée, les hôpitaux du Service national de santé britannique (NHS) étant parmi les plus durement touchés.

Selon les estimations, l’attaque a touché plus de 200 000 ordinateurs dans 150 pays. Les dommages financiers causés par l’attaque sont difficiles à quantifier, mais certaines estimations suggèrent qu’ils pourraient se chiffrer en milliards de dollars. Cette attaque a également mis en lumière les vulnérabilités de notre monde de plus en plus interconnecté et le potentiel des cyberattaques à causer des dommages dans le monde réel.

Étude de cas : NHS

Le NHS a été gravement touché par l’attaque WannaCry, environ un tiers des établissements de santé en Angleterre ayant été perturbés. Les hôpitaux ont dû annuler des rendez-vous et des interventions chirurgicales, et certains ont même dû détourner des patients en situation d’urgence. L’attaque a révélé d’importantes vulnérabilités dans l’infrastructure informatique du NHS, notamment des systèmes obsolètes et un manque de préparation en matière de cybersécurité.

Le coût financier pour le NHS a été estimé à environ 92 millions de livres sterling. Ce montant comprend les coûts immédiats de la réponse à l’attaque et les coûts à plus long terme des mises à niveau informatiques, de la récupération des données et de l’amélioration des mesures de cybersécurité.

Prévenir WannaCry et les attaques similaires

La prévention des attaques de ransomware comme WannaCry nécessite une approche à multiples facettes. Il s’agit notamment de maintenir les logiciels et les systèmes à jour, d’utiliser des logiciels de sécurité fiables, de sauvegarder régulièrement les données et de sensibiliser les utilisateurs à la cybersécurité.

Microsoft a publié un correctif pour la vulnérabilité EternalBlue en mars 2017, un mois avant l’attaque WannaCry. Cependant, de nombreuses organisations n’avaient pas appliqué le correctif, laissant leurs systèmes vulnérables. Cela souligne l’importance d’une gestion opportune des correctifs en matière de cybersécurité.

Sensibilisation à la cybersécurité

L’erreur humaine est souvent un facteur important dans la réussite des cyberattaques. Les courriels d’hameçonnage, par exemple, reposent sur le fait que les utilisateurs cliquent sur des liens ou des pièces jointes malveillants. Par conséquent, la sensibilisation des utilisateurs à la cybersécurité est un élément essentiel de la prévention des attaques.

La formation devrait inclure la reconnaissance et l’évitement des courriels d’hameçonnage, l’utilisation de mots de passe forts et uniques, et la compréhension de l’importance des mises à jour logicielles et des sauvegardes. Les utilisateurs doivent également être conscients des signes d’une attaque par ransomware, tels que des fichiers soudainement inaccessibles ou un comportement inhabituel du système.

Conclusion

L’attaque du ransomware WannaCry a été un signal d’alarme pour de nombreuses organisations quant à l’ampleur et à l’impact potentiels des cyberattaques. Elle a mis en évidence l’importance de mesures de cybersécurité solides, notamment la gestion des correctifs, les sauvegardes de données et la sensibilisation des utilisateurs.

Bien que l’attaque ait causé des perturbations et des dommages financiers importants, elle a également suscité un intérêt accru pour la cybersécurité et la nécessité d’améliorer les défenses. Alors que nous dépendons de plus en plus des systèmes numériques, les leçons tirées de WannaCry continueront d’être pertinentes pour la protection contre les futures cybermenaces.