WannaCry : tout savoir sur la pire cyberattaque de l'Histoire

WannaCry : tout savoir sur la pire cyberattaque de l'Histoire

Adriana L.
Calendar picto
26/9/2022
Clock picto
9 min

WannaCry est l'une des pires cyberattaques de tous les temps, avec plus de 200 000 victimes dans le monde et plusieurs milliards de dollars de dégâts. Découvrez tout ce que vous devez savoir sur ce ransomware dévastateur, et comment protéger votre entreprise contre ce type de menace.

Initialement déployé le 12 mai 2017, WannaCry est un malware de type cryptoworm ransomware ciblant les ordinateurs fonctionnant sous le système d'exploitation Microsoft Windows.

Ce logiciel malveillant chiffrait les données stockées sur l'ordinateur, et réclamait une rançon allant de 300 à 600 dollars à payer en Bitcoin. Une fois installé sur une machine, WannaCry crée aussi une porte dérobée sur le système infecté.

Le malware reposait sur l'exploitation d'une vulnérabilité connue sur les anciens systèmes Windows, appelée EternalBlue. Cette vulnérabilité a été découverte par la NSA des États-Unis, mais fut volée et dévoilée par un groupe dénommé The Shadow Brokers quelques mois avant l'attaque WannaCry.

Même si EternalBlue fut rapidement patchée, beaucoup d'organisations n'ont pas mis à jour leurs PC Windows ou utilisaient d'anciennes versions de l'OS. C'est ce qui a permis le succès de WannaCry...

Les États-Unis, le Royaume-Uni, le Canada, le Japon, l'Australie et la Nouvelle-Zélande ont accusé la Corée du Nord d'être à l'origine de l'attaque, au même titre que de nombreux experts en sécurité. Toutefois, le pays totalitaire asiatique a toujours nié.

Aussi appelée WannaCrypt, WCry, Wana Decryptor 2.0, WanaCrypto 2.0 ou Wanna Decrypto, WannaCry reste à ce jour l'une des pires cyberattaques de l'histoire avec plus 200 000 ordinateurs infectés dans 150 pays et des milliards de dollars de dégâts selon les estimations d'Europol.

Comment s'est propagé WannaCry ?

La propagation de WannaCry a été permise par l'exploit zero-day EternalBlue. Cette vulnérabilité était présente sur les vieux ordinateurs Windows utilisant une version obsolète du protocole Server Message Block (SMB).

Ce malware est un ver de réseau doté d'un mécanisme de transport lui permettant de se propager automatiquement. Le code de transport scanne le réseau à la recherche de systèmes vulnérables à l'exploit EternalBlue, puis installe DoublePulsar et exécute une copie de lui-même.

Ainsi, WannaCry peut se propager automatiquement sans même que la victime intervienne. C'est une différence majeure avec d'autres ransomwares reposant sur le phishing ou l'ingénierie sociale pour se répandre.

En outre, WannaCry peut aussi prendre avantage d'infections DoublePulsar existantes au lieu de s'installer lui-même. Cet outil de porte dérobée fut relaxé par The Shadow Brokers le 14 avril 2017, et les chercheurs l'ont ensuite détecté sur plusieurs dizaines de milliers d'ordinateurs en moins d'une semaine. Dix jours plus tard, des centaines de milliers d'ordinateurs étaient infectés.

Comment fonctionne WannaCry ?

Dès son exécution, WannaCry vérifie si le domaine « kill switch » est disponible. Dans le cas contraire, le ransomware chiffre les données et tente d'exploiter EternalBlue pour se propager sur d'autres ordinateurs sur le même réseau.

Un ordinateur infecté scanne le réseau cible à la recherche d'appareils acceptant le trafic sur les ports TCP 135-139 ou 445, indiquant que le système est configuré pour exécuter le protocole SMB.

La machine contaminée initie ensuite une connexion SMBv1 avec l'appareil et utilise un buffer overflow (dépassement de tampon) pour prendre contrôle du système et installer le composant ransomware de l'attaque.

Comme les autres rançongiciels, le malware affiche un message informant l'utilisateur que ses fichiers ont été chiffrés et réclamant le paiement par Bitcoin d'une rançon de 300 $ sous trois jours ou 600 $ sous sept jours.

Trois adresses Bitcoin codées en dur sont utilisées pour recevoir les paiements. Les transactions et le solde des portefeuilles Bitcoin sont publiquement accessibles sur la Blockchain, mais l'identité de leurs propriétaires est intraçable.

Les experts en sécurité recommandent aux victimes de ne pas payer la rançon. Pour cause, même en cas de paiement, il arrive souvent que les hackers ne rendent pas les données volées.

Le patching de Wannacry

Dès le lendemain de l'attaque initiale, Microsoft relaxa des mises à jour de sécurité pour Windows XP, Windows Server 2003 et Windows 8. Ces patches furent créés en février, suite à la découverte de la vulnérabilité en janvier 2017.

Le 14 mars 2017, Microsoft relaxa MS17-010 détaillant la faille et patchant l'exploitation EternalBlue pour Windows Vista, Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 et Windows Server 2016.

En plus de ce patch, Marcus Hutchins de MalwareTech a découvert le domaine kill switch codé en dur dans WannCry. Il a ensuite enregistré ce domaine pour arrêter la propagation de l'attaque, puisque le ver ne peut chiffrer les fichiers informatiques que s'il est incapable de se connecter à ce domaine.

Ceci n'a rien changé pour les systèmes infectés, mais a fortement ralenti la propagation du ver et permis de gagner du temps pour déployer les mesures défensives.

Le 14 mai 2017, un nouveau variant de WannaCry est apparu. Son kill switch a été enregistré par Matt Suiche le jour même. Le lendemain, un autre variant avec un troisième kill switch a été enregistré par les analystes de Check Point. Malheureusement, quelques jours plus tard, une autre version de WannaCry a été détectée et n'avait pas de kill switch.

Le 19 mai 2017, les hackers ont tenté d'utiliser un botnet pour lancer une attaque DDoS sur le kill switch de WannaCry afin de le mettre hors-ligne. Le 22 mai 2017, le domaine était protégé grâce à un changement pour une version en cache du site capable de supporter une charge de trafic bien plus lourde.

Parallèlement, les chercheurs de l'University College London et la Boston University ont signalé que leur système PayBreak pouvait vaincre WannaCry et les autres attaques ransomwares en retrouvant les clés utilisées pour chiffrer les données d'utilisateurs. Ce système permet le déchiffrement sans paiement. Désormais, il existe de nombreux outils de déchiffrement gratuits pour WannaCry.

Qui est à l'origine de l'attaque WannaCry ?

Une analyse linguistique des notes de rançons suggère que les auteurs parlent couramment chinois et anglais, puisque des versions des notes dans ces langages ont été écrites par l'humain tandis que les versions dans d'autres langages semblaient traduites automatiquement.

Selon le Cyber Behavioral Analysis Center du FBI, l'ordinateur ayant créé les fichiers de langage du ransomware avait les polices de langage Hangul installées puisque l'on y retrouve le tag de Rich Text Format « \fcharset129 ». Les métadonnées dans les fichiers de langage suggèrent aussi que les ordinateurs étaient configurés sur le fuseau UTC+09:00 utilisé en Corée.

En outre, les chercheurs de Google, Microsoft, Kaspersky Lab et Symantec ont découvert des similitudes entre le code Wannacry et un malware utilisé par le groupe nord-coréen Lazarus impliqué dans la cyberattaque de Sony Pictures en 2014. Un mémo en fuite de la NSA et du Nation Cyber Security Centre du Royaume-Uni tire la même conclusion.

Le 18 décembre 2017, le gouvernement des États-Unis a officiellement accusé la Corée du Nord d'être derrière la cyberattaque WannaCry. Le Canada, la Nouvelle-Zélande, l'Australie, le Royaume-Uni et le Japon ont également pointé du doigt la dictature asiatique. Toutefois, la Corée du Nord a toujours réfuté ces allégations.

Qui sont les victimes de WannaCry ?

L'ampleur de la cyberattaque WannaCry reste inégalée à ce jour. Selon les estimations de Kaspersky Lab, environ 200 000 ordinateurs ont été infectés dans 150 pays. Les pays les plus touchés sont la Russie, l'Ukraine, l'Inde et Taïwan.

L'une des organisations les plus impactées est le National Health Service : l'agence du système de santé publique de l'Angleterre. Rappelons qu'il s'agit du plus large système de santé dans le monde.

Près de 70 000 appareils du NHS ont été infectés par WannaCry, dont les ordinateurs, les scanners IRM ou les réfrigérateurs de stockage de sang. En situation de crise, certains services ont dû refuser des urgences.

En outre, l'un des plus grands opérateurs télécom du monde, Telefónica, fut l'une des premières organisations à signaler des problèmes causés par WannaCry. D'autres grandes entreprises telles que FedEx, Nissan, Hitachi ou Renault ont été sévèrement touchées, au même titre que le ministère de l'intérieur russe, la police d'Andhra Pradesh en Inde, ou les universités de Chine.

Comment le monde a-t-il réagi à WannaCry ?

En découvrant WannaCry, la NSA n'a pas directement signalé la vulnérabilité à Microsoft. À la place, l'agence américaine décida d'utiliser la vulnérabilité pour créer une exploitation pour ses propres travaux offensifs.

Cette décision fut vivement critiquée par les médias. Selon Edward Snowden, si la NSA avait « dévoilé en privé la faille utilisée pour attaquer les hôpitaux quand ils l'ont découverte, pas quand ils l'ont perdu, l'attaque aurait pu ne pas avoir lieu ».

Face aux nombreuses critiques sur l'absence de communication, le 17 mai 2017, les législateurs américains ont introduit la loi PATCH Act. L'objectif était de trouver un équilibre entre « la nécessité de divulguer les vulnérabilités et les autres intérêts de sécurité nationale tout en augmentant la transparence et la responsabilité auprès du grand public ».

Est-ce que WannaCry existe encore ?

WannaCry existe encore, et continue de se répandre et d'infecter les ordinateurs qui n'ont pas été patchés contre EternalBlue. Ce patch est disponible gratuitement depuis des années pour toutes les machines Windows, mais de nombreuses entreprises négligent le patching et la mise à jour de leurs systèmes.

Ceci peut être lié à un manque de ressource ou de planification ou tout simplement à une peur que la mise à jour des systèmes existants cause un temps d'interruption ou perturbe le fonctionnement de logiciels.

C'est la raison pour laquelle des infections WannaCry surviennent encore aujourd'hui, alors qu'elles pourraient être évitées très facilement. En mars 2018, Boeing a par exemple été victime d'une attaque ayant impacté plusieurs machines.

De même, selon un rapport de mai 2019, deux ans après le déploiement du patch EternalBlue, 40% des organisations de la santé et 60% des fabricants avaient subi au moins une attaque WannaCry au cours des six mois précédents.

Avec la pandémie de COVID-19, les établissements de santé sont devenus des cibles très attractives pour les gangs de hackers. Une nouvelle vague d'attaques WannaCry a eu lieu début 2020, et Check Point Research révèle que le nombre d'organisations affectées par ce malware a augmenté de 53% en 2021.

Même si le patching a permis de freiner WannaCry, sa propagation n'a jamais vraiment cessé. De nombreux systèmes Windows ne sont toujours pas mis à jour, et ce n'est qu'une question de temps avant que les hackers les trouvent.

 

Comment se protéger des cyberattaques comme WannaCry ?

Malgré son envergure massive, WannaCry repose sur les mêmes mécanismes que la plupart des cyberattaques à succès. Le ransomware trouve des ports exposés sur internet, et exploiter des vulnérabilités connues.

Le meilleur moyen de se protéger d'attaques comme WannaCry est d'adopter les mesures de sécurité informatiques élémentaires comme le patching de tous les systèmes.

En effet, EternalBlue se connecte aux ports SMB exposés qui ne devraient pourtant jamais être ouverts à internet. Un opérateur de Data Center doit s'assurer que les ports 135-139 et 445 ne soient pas exposés publiquement.

Le succès de cette attaque démontre la faiblesse de la cybersécurité mondiale. De simples erreurs de configuration et des vulnérabilités déjà connues peuvent provoquer une crise globale et causer des milliards de dollars de dégâts.

Au-delà des failles dans le logiciel, le code ou les firewalls, la véritable cause de cette catastrophe est un problème de processus et de priorités.

Il est élémentaire de mettre à jour tous les systèmes informatiques et d'utiliser des logiciels encore maintenus par leurs éditeurs. Si ces deux principes de base étaient respectés par les organisations du monde entier, les cyberattaques telles que WannaCry auraient largement moins d'impact.

Par ailleurs, les données sensibles et informations personnelles doivent être stockées de façon sécurisée. Des processus de restauration des systèmes informatiques doivent aussi être mis en place.

Les données importantes doivent être sauvegardées par un backup, pour être restaurées en cas de cyberattaque, de panne ou d'erreur. En adoptant ces pratiques, les risques liés aux cyberattaques peuvent être largement réduits.

Toutefois, l'installation d'un antivirus ne suffit pas pour assurer la cybersécurité d'une entreprise. L'expertise d'un analyste SOC, capable de surveiller les menaces en temps réel et d'intervenir est désormais indispensable.

Comment suivre une formation de cybersécurité ?

Afin de devenir expert en cybersécurité, vous pouvez choisir la Cyber University. Notre formation vous permet de devenir analyste en SOC en seulement 365 heures.

Au programme : les fondamentaux de la cybersécurité, les stratégies d'attaque et de défense, la gestion de crise cyber ou encore le contexte juridique et normatif.

À l'issue du parcours, vous serez fin prêt à exercer le métier d'analyste SOC en entreprise. Notre cursus se distingue par la mise en pratique des connaissances à travers un projet fil rouge, et par l'usage d'un simulateur de cyberattaque.

Vous pouvez compléter ce programme en Formation Continue, ou en mode BootCamp intensif en fonction de vos préférences et vos disponiblités. Notre approche Blended Learning combine l'apprentissage asynchrone sur notre plateforme en ligne et l'accompagnement des professeurs lors des Masterclasses.

Ce cursus permet d'obtenir la certification GIAC Certified Forensic Analyst (GCFA), et d'accéder aux métiers d'analyste SOC, d'expert en cybersécurité, de consultant, d'architecte sécurité ou de spécialiste en développement sécurité. Cette formation s'effectue intégralement à distance, et notre organisme est éligible au CPF pour le financement.

Si vous êtes chef d'entreprise, nous proposons aussi des formations sur mesure pour l'upskilling ou le reskilling de vos collaborateurs en cybersécurité. Une excellente façon d'assurer l'adoption des bonnes pratiques de sécurité dans tous les départements de votre organisation. Découvrez sans plus attendre la CyberUniversity !

Vous savez tout sur WannaCry. Pour plus d'informations, découvrez notre dossier complet sur les ransomwares et notre dossier sur les différents types de cyberattaques.