Le rançongiciel WannaCry ravive le débat sur les failles de sécurité
Le rançongiciel WannaCry ravive le débat sur les failles de sécurité
Par Martin Untersinger
La NSA, agence de renseignement américaine, est critiquée pour ne pas avoir rendu publique une vulnérabilité dans Windows exploitée par le logiciel de racket.
Un « ransomware » est un logiciel qui chiffre les données présentes sur un ordinateur et exige une rançon pour le rétablir. | Quentin Hugon / Le Monde
C’est comme si « l’armée américaine se faisait voler un missile Tomahawk ». Le directeur juridique de Microsoft n’a guère pris de pincettes pour dénoncer, dimanche 14 mai sur un blog de l’entreprise, la puissante National Security Agency (NSA). Brad Smith reproche à l’agence américaine spécialisée dans le renseignement électronique de ne pas avoir averti son entreprise suffisamment tôt de l’existence de la faille de sécurité utilisée dans la propagation éclair du rançongiciel WannaCry.
Pour comprendre cette virulente critique, il faut remonter au 14 avril. Ce jour-là, une série d’outils de la NSA est publiée sur Internet par The Shadow Brokers. Depuis quelques mois, ces mystérieux pirates, à l’origine et aux motivations troubles, publient en ligne une partie de l’arsenal de l’agence de renseignement.
Bien souvent, ces outils d’espionnage sont le fruit d’un intense travail de recherche de la part des espions américains : après avoir repéré des failles dans des logiciels utilisés par leurs cibles, ils créent des outils pour les exploiter et intercepter des communications. C’est le cas d’Eternal Blue, un outil exploitant une faille dans un protocole Windows permettant de faire fonctionner les ordinateurs en réseau. Un outil soustrait et publié sur Internet par The Shadow Brokers.
La NSA aurait-elle dû avertir Microsoft ?
Microsoft a-t-elle été prévenue de cette publication ? L’entreprise ne l’a pas dit, mais elle avait, quelques semaines auparavant, déployé sur toutes ses machines un correctif de sécurité colmatant cette brèche. C’était nécessaire : publique, la faille pouvait être exploitée par n’importe quel pirate. Problème : la mise à jour publiée par Microsoft ne concernait en fait que les ordinateurs les plus récents, la firme de Redmond ayant cessé de fournir des correctifs pour certains systèmes – comme Windows XP ou des versions pour serveurs – âgés parfois de près de quinze ans. Certains ordinateurs anciens ou non mis à jour demeuraient donc vulnérables.
Les auteurs de WannaCry en ont profité. Ce rançongiciel, qui a déferlé sur des milliers d’ordinateurs pendant le week-end, utilise en effet l’outil développé par la NSA pour se propager et infecter automatiquement de nouvelles machines. Cette épidémie inédite a poussé Microsoft à proposer en urgence, fait rarissime, une mise à jour pour les systèmes visés les plus anciens. Mardi 16 mai, des experts informatiques pointaient des similitudes entre des portions de codes d’une ancienne version de WannaCry et des programmes développés par le groupe de hackers Lazarus. Ce dernier est soupçonné d’être lié à la Corée du Nord.
La NSA aurait-elle dû avertir Microsoft, plutôt que de garder par devers elle une vulnérabilité critique ? Pour Brad Smith, « le stockage de vulnérabilités par les gouvernements est un problème ». « A plusieurs reprises, écrit-il, des failles dans les mains de gouvernements ont été publiées, causant de gros dégâts ». « [L’épisode WannaCry] est un lien troublant entre les deux plus grandes menaces pour la cybersécurité : le crime organisé et les Etats », assène-t-il, avant de réclamer une « convention de Genève numérique » obligeant les gouvernements à considérer les armes numériques comme des armes traditionnelles et à communiquer aux entreprises les failles après leur découverte.
Edward Snowden s’en mêle
Edward Snowden, le lanceur d’alerte de la NSA, n’a pas non plus retenu ses coups. Selon lui, la NSA a « rendu possible » l’« attaque » contre les hôpitaux britanniques : « Si elle avait communiqué la faille quand elle l’a découverte, les hôpitaux auraient eu des années pour se préparer. » « La décision de garder la vulnérabilité secrète plutôt que de la réparer fait que la NSA [et son très proche allié britannique] le GCHQ portent une part importante de la responsabilité » dans la propagation de WannaCry, a jugé Openrightsgroup, une ONG britannique.
Pour une partie des experts, les dégâts causés par WannaCry soulèvent en effet la question de l’équilibre entre deux objectifs antagonistes. D’une part, la nécessaire protection des infrastructures d’un pays, qui nécessite de connaître les failles le plus tôt possible et de les transmettre rapidement aux fabricants de logiciels. D’autre part, l’inévitable effort en matière de renseignement, un monde dans lequel une faille permettant d’espionner un système informatique n’a quasiment pas de prix.
Aux Etats-Unis, un processus existe pour concilier les intérêts des défenseurs et des attaquants. Formalisé en 2010, il met autour d’une même table et dans le plus grand secret les représentants de diverses agences de renseignement afin de savoir s’il vaut mieux corriger la faille ou continuer de l’exploiter. Ce mécanisme est régulièrement critiqué outre-Atlantique. La question, qui avait surgi lors des révélations d’Edward Snowden, avait déjà été remise sur le tapis au mois de mars lors de la publication par WikiLeaks d’outils – cette fois de la CIA – permettant de surveiller des routeurs Cisco. Les ingénieurs de cette firme, pourtant américaine, ont dû analyser en urgence l’outil rendu public et corriger en conséquence leurs logiciels.
L’affaire WannaCry va ajouter de l’eau au moulin des opposants de ce mécanisme de communication des failles et nourrir ce débat nouveau dans les sociétés numérisées, où les infrastructures que l’on abat pour espionner en dehors de son territoire sont les mêmes que celles qui protègent les secrets de son propre pays et de ses citoyens.