On vous explique.
Cette fois-ci Edward Snowden n’y est pour rien. Une fuite de la NSA pourrait bien être à l’origine de l’immense cyberattaque qui s’est répandue sous la forme d’un ver informatique ce weekend. Elle a notamment touché le service public hospitalier britannique et une compagnie téléphonique espagnole, FedEx, ainsi que Renault en France.
On chiffre à 200 000 personnes dans 150 pays différents le nombre de victimes. Le constructeur automobile français été obligé de stopper sa production. Au Royaume-Uni, dans les hôpitaux, des opérations chirurgicales, des examens et traitements ont dû être reportés. Toutes les institutions piratées devaient céder à une demande de rançon.
A ransomware spreading in the lab at the university pic.twitter.com/8dROVXXkQv
— 12B (@dodicin) 12 mai 2017
Sous le nom de « WannaCry » ou « Wanna Decryptor », le malware rend inaccessible les données des utilisateurs et leur propose pour la modique somme de 300 dollars la clé de chiffrement qui leur permettra (peut-être) d’accéder de nouveau à leurs informations. Ce malware utilise une faille du système d’exploitation Windows.
Une faille chez Microsoft
Microsoft avait pourtant mis l’accent sur cette faille dans son système le 14 mars dernier, comme le relève Jean-Marc Manach dans Slate, en rendant public un « patch de sécurité » qui permettait d’éviter ce genre d’attaques. Ceux qui n’ont pas installé ce patch se sont retrouvés au premier plan face à cette attaque particulièrement virulente.
Microsoft avait pris ces dispositions après l’annonce d’un leak au sein de l’agence de renseignement américaine. Comme le détaille The Intercept, « mi-avril, un puissant arsenal de logiciels créés par la NSA pour infecter et contrôler les ordinateurs Windows ont fuité, des suites de l’action d’une entité connue sous le nom des ‘Shadow Brokers’ ».
Hier, Microsoft a publié un communiqué, accusant directement la NSA.
Extraordinary: Microsoft officially confirms @NSAGov developed the flaw that brought down hospitals this weekend. https://t.co/zQ6785YpFf
— Edward Snowden (@Snowden) 14 mai 2017
Shadow Brokers vs MalwareTechblog
Toujours selon Slate, The Shadow Brokers est « une entité non-identifiée mais potentiellement liée aux services de renseignements russes qui, depuis l’été dernier, a rendu public une partie de l’arsenal cyber de la NSA. »
Selon la BBC, Les Shadow Brokers disent vouloir protester contre Donald Trump, « l’éviction de Steve Bannon du conseil de sécurité américain » et « les frappes américaines en Syrie ».
Plusieurs experts s’accordent à dire que ces hackers doivent être proches de la Russie. Mais d’autres, comme James Bamford, expert en cyber-sécurité, qui signale à Reuters qu’il serait stupide de reconnaitre le vol si le gouvernement russe était effectivement responsable de cette fuite. Il suggère également que les Shadow Brokers pourraient être des « infiltrés » au sein de la NSA. Les paris sont ouverts. Par ailleurs, le système bancaire russe a aussi été touché par l’attaque.
Quoi qu’il en soit l’entité anonyme a trouvé un adversaire à sa mesure, anonyme lui aussi. Un chercheur anglais en cybersécurité, qui officie sur Twitter sous le nom de son blog @MalwareTechblog a largement réduit la propagation de l’escroquerie en activant un mécanisme de blocage automatique, lorsqu’il a acheté le nom de domaine auquel était rattaché le logiciel, pour 9,77€.
#WannaCry propagation payload contains previously unregistered domain, execution fails now that domain has been sinkholed pic.twitter.com/z2ClEnZAD2
— Darien Huss (@darienhuss) 12 mai 2017
Visuel : (c) The New York Times
