WannaCry aurait été lancé par le collectif The Shadow Brokers, auriez-vous plus d’informations à leur sujet ?

Comme dirait Socrate, scio me nihil scire ! Ce que l’on sait, c’est qu’on ne sait pas grand-chose sur ce groupe : on sait qu’ils ont dérobé une partie des outils de la puissante NSA, qu’ils diffusent au compte-gouttes depuis quelques mois. Certains supputent une origine russe, mais à ce stade, ça n’est que conjecture. Quelques articles à leur sujet ici ou là.

Notons cependant que WannaCry n’a pas été créé par The Shadow Brokers (encore que, comme dirait Socrate…), mais qu’il utilise pour se répandre une faille présente dans un outil de la NSA rendu public par The Shadow Brokers. La publication de cette faille a sans doute considérablement facilité la tâche des auteurs de WannaCry.

Puisqu’il ne s’agit pas d’un Etat attaquant (a priori), y a-t-il des travaux de collaboration internationale pour mettre en place des mécanismes permettant d’identifier les personnes qui touchent l’argent des rançons ? Et les « arrêter » ? L’impunité de ce type d’attaque est inquiétante…

Les Etats et les entreprises de sécurité informatique collaborent de plus en plus pour faire face aux ransomware (c’est d’autant plus facile que ce type d’attaque, crapuleux, est très fréquemment le fait de criminels et de mafias, et pas de services de renseignement étatiques), comme le projet No More Ransom.

Sait-on si toutes les failles révélées par le groupe The ShadowBrokers ont été corrigées par cet update ou si la correction ne porte que sur la faille utilisée par WannaCry ?

Toutes les failles concernant Windows et révélées par The Shadow Brokers ont été corrigées dès le 14 mars pour les systèmes d’exploitation encore pris en charge par Microsoft. Une deuxième correction, portant sur des versions dont le support a cessé (comme XP), a été publiée ce week-end. Cette dernière ne porte que sur la faille utilisée par WannaCry. Pour être tout à fait complet, cela ne signifie pas que tous les ordinateurs sont protégés : il faut que la mise à jour soit téléchargée et installée.

Les Mac sont-ils concernés par cette attaque ou par d’autres du même type ?
Par ailleurs on m’a toujours répondu que les Mac ne nécessitaient pas d’antivirus ? Qu’en est-il exactement ?
Enfin, cela veut-il dire qu’il faut carrément changer de matériel bien plus souvent que je ne le souhaiterais, car à partir d’un certain temps, il n’existe plus de mise à jour de quoi que ce soit ?

Non, les versions connues de WannaCry ne visent que les ordinateurs fonctionnant sous Windows. Des rançongiciels visant les Mac ont cependant fait leur apparition ces dernières années, les précautions en matière de mise à jour, de sauvegardes régulières et de vigilance à l’égard des e-mails s’appliquent aussi !

Il est possible de changer de système d’exploitation sans changer de matériel. Par ailleurs, il se passe généralement plusieurs années avant que l’entreprise ne cesse de mettre à jour ses systèmes d’exploitation (treize ans dans le cas de Windows XP).

WannaCry est un rançongiciel et bien que ce type de malwares ne soit pas extrêmement complexe, il est étrange que quelqu’un qui ait su exploiter ladite faille ait pu laisser cette dépendance du nom de domaine dans son logiciel. Est-ce possible que ce soit intentionnel, si oui pourquoi ?

A ce stade, on ne sait pas si la présence de ce mécanisme de désactivation était volontaire ou le fruit d’une simple erreur.

Je ne suis pas sûr que lancer Windows Update régulièrement suffise. En vérifiant mon historique de mises à jour (Win7), je me suis rendu compte que certaines mises à jour de sécurité avaient échoué. Apparemment Windows Update ne réessaye pas de les installer automatiquement et ne me propose pas ces mises à jours quand je relance une vérification.

Pour vérifier si Windows Update (cela permet de détecter automatiquement les nouvelles mises à jour) est activé : Panneau de configuration > Système et sécurité > Windows Update.

Pour vérifier que les mises à jour se sont bien installées (dans Windows 7), il faut cliquer ensuite sur « Afficher l’historique des mises à jour ».

Doit-on mettre en cause un utilisateur Microsoft qui utilise de vieilles versions de Windows, peu sécurisées (exemple Vista, XP, 2003…) ou Microsoft de ne pas maintenir ses logiciels à jour ? D’ailleurs, un professionnel ne devrait pas avoir le devoir moral de faire un suivi de son matériel informatique et procéder aux changements de versions ?

Un professionnel consciencieux est en effet supposé mettre à jour les ordinateurs dont il est responsable. Cependant, dans certaines entreprises, c’est plus compliqué que cela en a l’air, notamment à cause du nombre très important de machines, du coût très important de la bascule ou de la présence de logiciels « métier » pas nécessairement compatibles avec des versions plus récentes de Windows. Sans doute l’ampleur de l’attaque WannaCry et ses conséquences sonnantes et trébuchantes inciteront-elles les professionnels à faire migrer plus rapidement leurs machines.

Sait-on si Windows Server est concerné ? Sinon, il ne s’agit alors que de PC personnels, ce qui limite l’impact aux seuls irresponsables qui utilisent des postes de travail pour leur SI d’entreprise…
Oui, Windows Server est également concerné, selon l’ANSSI.

J’interromps un instant vos très nombreuses et très intéressantes questions pour vous communiquer une nouvelle rassurante, issue d’une déclaration à l’AFP du porte-parole d’Europol, Jan Op Gen Oorth :

« Le nombre de victimes ne semble pas avoir augmenté et la situation semble stable en Europe, ce qui est un succès. Il semble qu’il y ait de nombreux responsables de la sécurité Internet qui ont fait leur travail durant le week-end et procédé aux mises à jour des logiciels de sécurité. »

Comment se fait-il qu’il soit impossible de savoir à qui bénéficient les paiements ? J’avoue que je ne connais pas bien le fonctionnement des bitcoins, mais en bout de chaîne, il y a bien quelqu’un qui a accès à cet argent et peut s’en servir ? Pourquoi est-ce impossible de remonter à cette source ?
Le versement de la rançon peut s’effectuer en bitcoins. Cette monnaie électronique est souvent présentée comme un système de paiement anonyme et impossible à tracer. C’est un peu plus compliqué que cela : toutes les transactions étant publiques, il est possible de remonter le premier échelon des transactions. C’est ainsi que l’on a pu établir que les pirates avaient déjà récupéré un peu plus de 40 000 dollars. Où va ensuite cet argent ? Il est assez facile de blanchir des transactions en bitcoin en transférant ses fonds en plusieurs fois et via plusieurs intermédiaires. Il est toujours possible de voir qui récupère les fonds, mais c’est très, très compliqué.

Cette affaire ne démontre-t-elle pas l’importance de lutter efficacement contre le chiffrement, utilisé ici par des cybercriminels ?

Il est vrai que les auteurs de WannaCry utilisent le chiffrement pour commettre leur méfait. Mais le chiffrement est aussi (et surtout) une manière de protéger ses données, une nécessité absolue en ces temps de troubles dans le cyberespace.

Beaucoup de gouvernements aimeraient restreindre le chiffrement, ou mettre en place à l’intérieur des systèmes de communication chiffrés des moyens pour les autorités d’écouter ce qu’il s’y passe en cas de besoin (portes dérobées). Cela pose un double problème : d’abord, les « méchants » contre qui on veut lutter en restreignant le chiffrement trouveront toujours un accès à ce type de technologies ; ensuite, parce qu’introduire des fonctionnalités cachées dans un mécanisme de chiffrement, c’est comme essayer de faire tenir la Tour Eiffel sur trois pieds, c’est très fragile. De plus, les « méchants » trouveront inévitablement la porte d’accès pourtant aménagée pour les « gentils ». La preuve : la faille découverte par la NSA a fini dans les mains des auteurs de WannaCry.

Savons-nous si le versement des 300 dollars demandés lève bien le cryptage des ordinateurs infectés ?
Je n’ai pas d’information à ce sujet. Si vous avez versé la rançon, votre témoignage m’intéresse beaucoup, n’hésitez pas à laisser un message en commentaire.

Y a-t-il des consignes données par les pouvoirs publics sur le paiement ou non des rançons ? Quels conseils, en France ou ailleurs, sont donnés aux victimes ?

Voici ce que dit l’ANSSI, le garde du corps numérique de l’Etat, au sujet du paiement :

« Ne payez pas la rançon. Le paiement ne garantit en rien le déchiffrement de vos données et peut compromettre le moyen de paiement utilisé (notamment la carte bancaire). »

Si je vous suis, les pirates auraient touché 40 000 dollars seulement. C’est étonnamment peu quand on compare au nombre d’ordinateurs touchés (en gros un peu plus de 100 personnes ont payé pour 200 000 ordis touchés). D’où sort ce chiffre ?

Cela peut paraître une maigre somme, notamment par rapport aux risques encourus. Ce chiffre a pu être obtenu en observant les sommes versées aux adresses bitcoin figurant dans WannaCry pour payer la rançon.

A part le pavé de l’ANSSI, quelles sont les mesures concrètes à appliquer ?

Mettre à jour votre ordinateur (c’est comme se brosser les dents trois fois par jour, c’est très utile), sauvegarder vos données hors-ligne régulièrement, se méfier de ce qu’on vous envoie par e-mail.

Peut-on rappeler les liens vers la page d’alerte du CERT et surtout vers la page permettant les mises à jour exceptionnelles de Microsoft pour leurs systèmes plus anciens, désormais hors maintenance, dont notamment Windows XP, encore très présent. Merci !

Voilà qui est fait. Le deuxième lien s’adresse aux utilisateurs de Windows XP (ou aux administrateurs réseau s’occupant de serveurs utilisant de vieilles versions de Windows pour serveur) n’ayant pas appliqué la mise à jour de sécurité exceptionnelle publiée par Microsoft ce week-end.