Ce que l’on sait du logiciel de racket qui a paralysé les hôpitaux britanniques et touché des dizaines de pays
Ce que l’on sait du logiciel de racket qui a paralysé les hôpitaux britanniques et touché des dizaines de pays
Par Damien Leloup
« WanaCrypt0r 2.0 » a touché en moins de vingt-quatre heures de très nombreux ordinateurs et perturbé le fonctionnement d’administrations et d’entreprises partout dans le monde.
Le siège de Telefonica à Madrid. L’opérateur de télécommunications espagnol fait partie des nombreuses entreprises dont le fonctionnement a été perturbé par WanaCrypt0r 2.0, un logiciel de racket qui s’est diffusé à très grande vitesse vendredi et samedi. | Paul White / AP
Depuis l’après-midi du vendredi 12 mai, un programme informatique de type « rançongiciel » (logiciel de racket) s’est déployé à très grande vitesse dans plusieurs dizaines de pays.
- Quel est ce logiciel ?
Baptisé WanaCrypt0r 2.0, ce logiciel malveillant fait partie de la famille des « rançongiciels ». Une fois installé sur un ordinateur, il chiffre son contenu pour le rendre inaccessible à son propriétaire, et réclame une rançon de 300 dollars, à payer en bitcoins, pour le déverrouiller.
Ces logiciels sont plutôt courants. Ce qui distingue WanaCrypt0r 2.0 des autres, c’est l’extrême rapidité de sa diffusion. Les estimations varient, mais les entreprises spécialisées dans la sécurité informatique avancent des chiffres de 100 000 à 130 000 ordinateurs touchés, dans près de cent pays différents en l’espace de vingt-quatre heures. Cela en fait la plus importante diffusion d’un logiciel de ce type de l’histoire.
- Quel impact a-t-il eu ?
Les conséquences ont été sévères. En Europe, c’est la Grande-Bretagne qui a été la plus sévèrement touchée : le système informatique du NHS, le service de santé britannique, a été quasi paralysé par le logiciel. Dans de nombreux hôpitaux, les opérations non urgentes ont dû être repoussées ; l’administration ne sait pas encore si des données ont été perdues.
Ailleurs en Europe, plusieurs grandes entreprises ont été touchées, dont l’opérateur Telefonica en Espagne, les chemins de fer allemands, et Renault, qui a connu des perturbations sur des chaînes de montage. La Russie et l’Inde ont également été particulièrement touchées en nombre d’ordinateurs infectés.
- Pourquoi s’est-il diffusé aussi rapidement ?
WanaCrypt0r 2.0 s’appuie sur une faille de sécurité de Microsoft Windows dont l’existence n’a été révélée que très récemment. Elle figurait parmi un ensemble d’outils de piratage appartenant à la NSA américaine qui ont été révélés début 2017 par un groupe mystérieux se faisant appeler « The Shadowbrokers ». La faille avait déjà été corrigée par Microsoft peu avant, mais l’entreprise a dû diffuser en urgence ce samedi un patch, y compris pour Windows XP – une version pour laquelle Microsoft n’effectue normalement plus de mises à jour, et particulièrement vulnérable à cette faille de sécurité. Le logiciel semble avoir surtout touché des machines utilisant d’anciennes versions de Windows – les utilisateurs de Windows 10 sont a priori à l’abri, selon Microsoft.
La propagation du logiciel peut se faire de deux manières : lorsqu’un utilisateur ouvre une pièce jointe corrompue (document Word ou PDF), mais aussi par le réseau local : WanaCrypt0r 2.0 est un logiciel élaboré, qui « scanne » l’infrastructure réseau depuis les machines sur lesquelles il est installé, pour se diffuser ensuite à toutes les machines proches.
- Faut-il s’attendre à ce que le virus prenne davantage d’ampleur ?
La propagation massive de WanaCrypt0r 2.0 était quasi stoppée ce samedi après-midi. Un arrêt brutal après un déploiement extraordinairement rapide qui a été permis par… un coup de chance. Un chercheur en sécurité informatique, qui avait remarqué la présence d’une URL (adresse de site Web) dans le code informatique du logiciel a acheté le nom de domaine correspondant, et déclenché sans le savoir une procédure « de secours » prévue par les concepteurs du virus, qui a bloqué sa diffusion. La publication du correctif de Microsoft samedi matin a également pu ralentir la diffusion du logiciel. En début d’après-midi, les entreprises spécialisées notaient une diminution très rapide du nombre de nouveaux cas de contamination.
- Qui a conçu WanaCrypt0r 2.0 ?
On l’ignore encore. Le gouvernement britannique avait évoqué dans la matinée une « attaque ciblée » ayant visé son système de santé, laissant entendre qu’il pourrait s’agir d’une attaque étatique. Pour Guillaume Poupard, le patron de l’Agence nationale de la sécurité des systèmes d’information, le garde du corps numérique de l’Etat, interrogé par Le Monde, « tout, dans ce scénario, fait penser à une attaque criminelle ».
Selon The Guardian, les concepteurs de ce logiciel avaient déjà publié un premier rançongiciel au fonctionnement similaire, mais n’utilisant pas la même faille de sécurité, baptisé WeCry, dont l’existence avait été signalée en février.