Skip to content
Retour aux chroniques
#ransomware#eternalblue#lazarus-group

WannaCry

Un ver nord-coréen transportant un exploit volé à la NSA a paralysé des hôpitaux au Royaume-Uni jusqu’à ce qu’un chercheur enregistre par accident un kill switch.

Cyber Chronicle2 min de lecture

Un vendredi après-midi de mai 2017, un ransomware se met à apparaître simultanément sur les écrans d’hôpitaux, d’usines et de bureaux à travers le monde. Les trusts du National Health Service au Royaume-Uni commencent à détourner des ambulances. Renault arrête sa production en France. Les panneaux d’information voyageurs de la Deutsche Bahn en Allemagne affichent des demandes de rançon entre deux horaires de train.

EternalBlue, de seconde main

Le ver se propage par une vulnérabilité Windows SMB appelée EternalBlue. L’exploit avait été développé par la National Security Agency américaine, puis fuité l’été précédent par un groupe se présentant comme les Shadow Brokers. Microsoft avait corrigé la faille sous-jacente quelques semaines plus tôt, mais le correctif n’avait pas été largement appliqué sur les systèmes embarqués et les installations Windows en fin de vie, qui se sont révélés omniprésents.

Un kill switch par accident

Un chercheur britannique d’à peine plus de vingt ans, travaillant depuis sa chambre sous le pseudonyme MalwareTech, remarque que le ver vérifie un long nom de domaine d’apparence aléatoire avant de s’activer. Il enregistre le domaine — cela lui coûte une dizaine de dollars — dans le cadre des pratiques classiques de sinkhole. Par accident, cet enregistrement déclenche le kill switch que les auteurs avaient laissé dans le code. Les infections plafonnent en quelques heures.

Attribution et conséquences

Des chercheurs de Google et d’ailleurs relient ensuite le code au Lazarus Group, et le département de la Justice américain met en accusation un ressortissant nord-coréen. L’opération semble avoir été pensée comme une machine à ransomware, mais les erreurs techniques des attaquants — dont un flux de paiement non fonctionnel — limitent leur butin à quelques centaines de milliers de dollars en bitcoins.

Ce que la chronique retient

WannaCry est le moment où le système de soins d’un pays entier est mis à l’arrêt par un logiciel. C’est aussi le baptême public de la boîte à outils de la NSA fuitée, qui alimentera NotPetya quelques semaines plus tard. La leçon — que l’exploit stocké par une nation devient l’urgence du monde dès qu’il s’échappe — n’a cessé d’être à l’affiche depuis.