« Rançongiciel » : trois Français trouvent un remède partiel à WannaCry
« Rançongiciel » : trois Français trouvent un remède partiel à WannaCry
Par Martin Untersinger
Un outil qui permet de récupérer les fichiers chiffrés par WannaCry a été développé, mais il ne fonctionne pas systématiquement.
WannaCry s’est diffusé dans plus de 150 pays. | Yonhap/AFP
Il n’aura fallu qu’une poignée de jours pour qu’une solution — partielle — soit trouvée pour les victimes du « rançongiciel » WannaCry, qui s’était répandu comme une traînée de poudre vendredi 12 mai. Trois Français, travaillant chacun de leur côté et collaborant parfois, ont contribué à mettre au point un outil, WanaKiwi, susceptible de déchiffrer simplement les fichiers retenus en otage par WannaCry. Si le succès n’est pas garanti pour toutes les machines infectées, c’est la première fois qu’un moyen de récupérer les données chiffrées par ce rançongiciel est mis au point. Et il tombe à pic, le délai donné par les pirates aux personnes infectées pour payer la rançon arrivant à son terme.
Cet outil est d’abord l’œuvre de Benjamin Delpy, un passionné de sécurité informatique, un hobby qui occupe une bonne part de son temps libre. Dès le week-end des 13 et 14 mai, il a « commencé à déchiffrer le logiciel, à regarder ce qu’il y avait dedans », explique-t-il au Monde. Ce travail de décorticage — couplé à celui d’un autre Français, Matthieu Suiche, fondateur à Dubaï (Qatar) de la société de cybersécurité Comae — lui a permis de comprendre comment WannaCry fonctionnait. Dans la nuit de dimanche à lundi, il parvient à concevoir un outil théorique, permettant de déchiffrer les fichiers chiffrés. Mais dans la pratique, il faut impérativement, pour que cela fonctionne, obtenir la clé privée — une clé unique, propre à chaque machine infectée, automatiquement générée par WannaCry lors de son déploiement sur l’appareil.
« Certaines sociétés ont déjà récupéré des PC »
C’est là qu’un troisième spécialiste français de sécurité informatique français, Adrien Guinet, a une intuition. Si la clé privée est en théorie inaccessible, sa génération a forcément dû laisser des traces. Il vérifie, et c’est le cas : les nombres premiers utilisés pour générer les clés de chiffrement peuvent, sous certaines conditions, être encore lisibles dans la mémoire de l’ordinateur et être utilisés pour recalculer la clé permettant l’accès aux fichiers chiffrés. Selon M. Guinet, il ne s’agit pas d’une erreur des développeurs de WannaCry, mais d’une conséquence du fonctionnement normal de Windows. En tout cas, sa « technique [est] remarquable », salue Benjamin Delpy. « Super intelligente », abonde Matthieu Suiche sur son blog.
C’était l’ingrédient qui manquait à WanaKiwi pour fonctionner. Avec l’aide de Matthieu Suiche, M. Delpy a donc incorporé cette technique dans son logiciel, qui permet dans certains cas de rétablir l’accès aux fichiers chiffrés. Et l’outil a déjà été mis en œuvre sur certaines machines infectées. « On a des retours de certaines sociétés ou entités qui ont déjà récupéré certains PC », fait valoir M. Delpy. Sur son compte Twitter, Europol a en effet confirmé que le logiciel fonctionnait « dans certaines circonstances ».
#Wannacry decrypting files tested by @EC3Europol & found to recover data in some circumstances:… https://t.co/xG3ZZphZ2W
— Europol (@Europol)
Le logiciel, qui peut être téléchargé ici, a été testé et fonctionne sur les versions 32-bits de Windows XP, Windows 7 et Windows 2003.
« Ça ne marche pas forcément systématiquement. Si la machine a été redémarrée, alors la mémoire a effectivement été effacée, et il n’y a aucune chance que la technique fonctionne », nuance Adrien Guinet au Monde. De même, plus il s’est écoulé de temps entre l’infection et l’utilisation de WanaKiwi, plus les chances de récupérer la clé sont faibles.