Une mise à jour de Microsoft stoppe le virus «WannaCry»
Le vendredi 12 mai, une cyberattaque d’envergure a visé des millions d’ordinateurs dans le monde et provoqué la mise à l’arrêt des unités de production de plusieurs sociétés et usines dans le monde. Les détails de l’origine de cette attaque et les moyens déployés par Microsoft pour l’endiguer.
Même si les informations des machines touchées par le virus restent cryptées, la propagation du virus a bien été stoppée par l’action d’un chercheur en sécurité informatique de 22 ans et par la publication d’une mise à jour de Windows pour réparer la faille qui a permis au virus d’entrer car ledit virus s’en est pris essentiellement aux machines utilisant Windows XP, version obsolète de la plateforme, qui a diffusé sa dernière version Windows 10 sortie en 2015 pour prévenir ce genre d’attaque baptisées «rançonlogiciel».
Si la contamination s’est propagée rapidement, c’est parce que le fonctionnement du logiciel malveillant est très simple. Le virus est présent dans des liens renvoyant à des sites connus (qui sont en fait des répliques), ou dans des documents liés à des mails. Le logiciel porte les noms de «WannaCry», «WannaDecryptor», «WanaCrypt0r 2.0» et «WCry?». Une fois ouvert par le biais du lien ou de la pièce jointe, le logiciel se télécharge automatiquement sur la machine et crypte l’entièreté des informations que contient cette dernière.
Pour décrypter ces informations, il faut payer une rançon qui s’élève à 300 ou 600 dollars, d’où le nom de «rançonlogiciel». La rançon équivalente à 547 euros maximum est demandée en bitcoins, une monnaie virtuelle impossible à tracer. Les experts en informatique s’accordent aujourd’hui pour conseiller aux quelques 200.000 utilisateurs des machines contaminées de ne pas payer la somme exigée car la récupération des données par la suite est encore incertaine.
Quelle origine et quelle envergure pour le virus ?
La faille de Windows dans laquelle le virus s’est glissé avait été divulguée par un mystérieux groupe baptisé «The Shadowbrokers» il y a quelques temps, qui indiquait aussi que l’Agence nationale de sécurité américaine la NSA détenait déjà le code d’exploitation du virus, qu’elle aurait supposément déjà utilisé sur des machines au service des USA. Microsoft avait donc corrigé la faille décelée, mais c’était sans compter sur la multitude d’utilisateurs qui ignorent les mises à jour. Le virus a déclenché une panique mondiale ce vendredi 12 mai.
De l’entreprise Renault à celle de Telefonica, en passant par de nombreux hôpitaux britanniques et même le géant de l’énergie chinois PetroChina, tous ont été paralysés à cause du virus et ont dû stopper leur activité, ce qui a provoqué des pertes que l’institut américain Cyber Consequences Unit a estimé à plusieurs centaines de millions de dollars. Pas moins de 150 pays sont touchés par l’attaque massive, dont la plupart sont européens. Cependant, la Russie, le Mexique, le Vietnam et d’autres ont été touchés, dans le fonctionnement de leurs bourses financières, leurs institutions ou de leurs entreprises privées.
Quelles réactions de la part de Microsoft ?
Windows s’est donc empressé de réactiver la mise à jour de toutes les machines qui ne l’avaient pas fait, et étaient donc sujettes au virus en raison de la faille que leurs versions actuelles du logiciel ne couvraient pas. La mesure a permis de ralentir la propagation du virus, mais c’est un Britannique de 22 ans qui a réussi à désarmer le virus avant qu’il ne fasse plus de victimes. Le chercheur en informatique, qui désire conserver son anonymat et n’est connu que sous son pseudo, «Malware Tech», a trouvé accidentellement la manip dans la nuit de vendredi à samedi. Il a décelé la présence de l’adresse url d’un site dans le code du logiciel, dont la propagation de ce dernier dépend.
Si le site restait injoignable, le virus continuait de se diffuser dans le monde. Malware Tech a donc acheté le domaine du site qui était à vendre, ce qui a stoppé le virus instantanément. Les créateurs dudit virus avaient prévu cette action comme mécanisme d’urgence pour stopper leur logiciel, chose que le jeune informaticien a compris par hasard. En France, une enquête a été ouverte, confiée à l’Office central de lutte contre la criminalité lié aux technologies de l’information et de la communication (OCLCTIC). Ce lundi, les machines qui ont été touchées par le virus restent bloquées, même si l’activité des entreprises touchées a repris. Les spécialistes ont tout de même prévenu que les pirates risquaient de revenir à la charge en changeant la nature de leur logiciel tout en exploitant toujours la même faille. Il est donc conseillé d’installer le correctif fournit par Windows le plus rapidement possible pour se trouver en sécurité. Dimanche 14 mai, au moins deux nouvelles versions du virus ont été détectées par des experts en cyber sécurité, mais ont été rapidement contrecarrées.
