WannaCry : le code du rançongiciel livre ses premiers secrets
WannaCry : le code du rançongiciel livre ses premiers secrets
Par Martin Untersinger
Après la propagation éclair du logiciel de racket, des experts ont commencé à analyser le code informatique qui a touché plusieurs dizaines de milliers d’ordinateurs.
Le rançongiciel Wannacry a infecté des dizaines de milliers de machines dans au moins 150 pays. | YONHAP / AFP
Après l’épidémie, l’enquête. Quelques jours après la propagation éclair du logiciel de racket WannaCry, des experts des cinq continents ont commencé à analyser le code informatique qui a touché plusieurs dizaines de milliers d’ordinateurs dans le monde.
Ce rançongiciel – qui chiffre les données présentes sur un ordinateur et les libère en échange du versement d’une somme d’argent – a été repéré pour la première fois le 10 février par un chercheur en sécurité informatique. Il n’était alors qu’un rançongiciel parmi des centaines d’autres et son incapacité à se propager automatiquement à d’autres ordinateurs limitait considérablement ses dégâts. L’adresse à laquelle il demandait à ses victimes de verser de l’argent en Bitcoin – la célèbre cryptomonnaie – n’a même reçu aucune transaction.
Mais cette première version est loin d’être anodine. Selon plusieurs experts, une petite portion de son code est identique à celui d’un outil utilisé dans le passé par le groupe Lazarus, les pirates responsables du « cybercasse » qui a coûté 81 millions de dollars, en février 2016, à la banque centrale du Bangladesh, mais aussi de nombreuses attaques contre des entreprises sud-coréennes et du piratage destructeur de Sony Pictures. L’ancien président américain Barack Obama avait formellement accusé la Corée du Nord d’être derrière celle qui a frappé le grand studio d’Hollywood.
Des similarités avec des pirates liés à la Corée du Nord
La similarité avec ce groupe proche de la Corée du Nord a d’abord été repérée par un chercheur de Google, puis très rapidement confirmée par Matthieu Suiche, fondateur de l’entreprise de sécurité informatique Comae Technologies et par Costin Raiu, du géant de la cybersécurité Kaspersky.
Un autre poids lourd du secteur, Symantec, a indiqué avoir détecté « des outils utilisés exclusivement par Lazarus sur des machines infectées par les premières versions de WannaCry », signe supplémentaire d’une grande proximité entre les deux.
Ces constats doivent être accueillis avec la plus grande prudence. Cela ne fait que quelques jours que chercheurs et enquêteurs examinent les dessous de WannaCry. C’est largement insuffisant pour épuiser toutes les pistes et éprouver la solidité de leurs conclusions.
Par ailleurs, en matière d’attaques informatiques, il est facile de maquiller ses traces pour désorienter les enquêteurs. Kaspersky considère cependant que cette théorie du « false flag », « quoique possible, est improbable », estimant que cette ressemblance « est à ce jour l’indice le plus important sur les origines [du rançongiciel] ».
Autrement dit, les parties communes aux deux logiciels sont trop rares pour être le fruit du hasard. « Désormais, des recherches supplémentaires doivent être menées sur les anciennes versions de WannaCry. C’est la clé pour résoudre certains des mystères qui entourent cette attaque », ajoute l’entreprise basée à Moscou. Même prudence du côté de Symantec, qui annonce des « investigations approfondies » et pour qui « ces découvertes n’indiquent pas de lien définitif entre Lazarus et WannaCry ».
Prudence
Les attaques informatiques d’origine étatique ne sont généralement pas motivées par l’appât du gain. Lazarus avait cependant fait exception à la règle en s’en prenant au système de transaction interbancaire Swift pour faire les poches de la banque centrale bangladaise.
Mais si l’implication de Lazarus dans WannaCry était confirmée, cela serait le premier exemple d’un rançongiciel d’origine étatique. Si l’implication d’un Etat se confirme, les dégâts causés par le rançongiciel, notamment dans les hôpitaux britanniques, poseront surtout une question diplomatique : la propagation automatique d’un virus sera-t-elle considérée comme une véritable offensive ? Si oui, comment réagiront les Etats concernés ?
Du côté des autorités, la prudence est également de mise à ce stade. « L’investigation est en cours », il est « trop tôt » pour spéculer sur les auteurs du rançongiciel, a tempéré, mardi, Jan Op Gen Oorth, le porte-parole d’Europol.
Thomas Bossert, le conseiller pour la sécurité nationale de la Maison Blanche indiquait la veille « ne pas savoir » qui se cachait derrière WannaCry, sans écarter la possibilité que le logiciel ait pu être développé par « des Etats étrangers ». « L’attribution peut être difficile. Je suis certain que des gens brillants travaillent sur ce piratage » a-t-il rappelé.
En France, une enquête a été diligentée par le parquet de Paris et confiée à l’unité d’élite de la police nationale en matière de cybercriminalité, qui a mis en place « un groupe d’enquête spécialement dédié à WannaCry », explique au Monde son directeur François-Xavier Masson. « Ces enquêteurs spécialisés analysent le rançongiciel, de façon à comprendre comment il fonctionne et à trouver d’éventuelles traces laissées par leurs auteurs » précise-t-il encore.
Un certain amateurisme
L’autre conclusion à laquelle sont parvenus entreprises spécialisées et experts ces derniers jours, c’est l’amateurisme d’une partie du dispositif de WannaCry.
Ses développeurs ont ainsi laissé, bien visible dans le code, un moyen de stopper la progression de leur virus, une occasion immédiatement saisie par un jeune expert britannique. Et lorsque de nouvelles versions du rançongiciel sont apparues, ce mécanisme n’avait pas changé.
Si sa propagation a été spectaculaire, c’est que les pirates ont utilisé pour le diffuser et le multiplier un puissant outil issu de la National Security Agency (NSA) américaine.
Mais le contenu du logiciel en lui-même apparaît décevant à certains chercheurs. Les ransomwares les plus perfectionnés n’ont rien à envier à des logiciels d’entreprises, disposent d’assistance en ligne et soignent leur « réputation » en déverrouillant automatiquement, une fois payés, les données de leurs victimes.
Ce n’est pas le cas pour WannaCry, dont les auteurs doivent vérifier à la main que les victimes ont bien effectué un versement en Bitcoin avant de leur transmettre la clé de déchiffrement de leurs données, selon Matthew Hickey, chercheur pour l’entreprise Hacker House dans les colonnes du magazine Wired. Ce processus fastidieux s’explique parce que les développeurs de WannaCry n’ont créé que quatre adresses auxquelles les victimes peuvent envoyer des Bitcoin, alors que les rançongiciels classiques les créent automatiquement.
Jeu de piste complexe
Cette rusticité introduit une vulnérabilité supplémentaire. Toutes les transactions en Bitcoin étant publiques, les enquêteurs pourront examiner les flux de transaction pour tenter de remonter vers l’individu ou le groupe destinataire des fonds.
Il s’agit ainsi pour la police française « d’un axe d’enquête important », selon M. Masson. Un jeu de piste déjà ardu qui sera sans doute grandement compliqué par l’utilisation par les pirates de nombreux intermédiaires pour brouiller leurs pistes.
Un autre fil peut être tiré par les enquêteurs : le patient zéro. Le premier ordinateur infecté peut donner des informations utiles pour comprendre d’où vient WannaCry. L’identification de cette machine est elle aussi extraordinairement compliquée et à la portée de seuls quelques entreprises et Etats parmi les mieux dotés en capacités techniques.
En matière informatique comme dans d’autres domaines, les enquêtes sont longues, et les premiers résultats tangibles ne sont pas attendus avant des semaines, voire des mois. Cependant, en infectant des ordinateurs indistinctement et sur les cinq continents, de la Russie aux Etats-Unis en passant par le Royaume-Uni, paralysant parfois des systèmes cruciaux comme ceux des transports et des hôpitaux, les auteurs de WannaCry se sont fait de très puissants ennemis.