Le virus WannaCry révèle les lacunes de la cybersécurité mondiale
22 mai 2017 Par Jérôme Hourdeaux
Une dizaine de jours après l’apparition du logiciel-rançon, de nombreuses responsabilités peuvent être pointées : celle de la NSA qui a directement inspiré le virus, celle des États qui laissent se développer un véritable marché des failles informatiques et celle des entreprises qui avaient été prévenues d’une attaque.
Il a fallu tout juste une semaine pour qu’un groupe de chercheurs élabore une solution permettant de mettre en échec le virus WannaCry qui, depuis le vendredi 12 mai et dans 150 pays, a infecté plus de 300 000 ordinateurs dont les données ont été prises en otage.Cet outil, qui permet de dé-chiffrer son PC sans avoir à payer la rançon demandée par les cybercriminels, a été baptisé « WanaKiwi » et a été développé par trois Français : Adrien Guinet, Matthieu Suiche et Benjamin Delpy. Vendredi 19 mai, Europol a annoncé avoir testé avec succès le logiciel sur lequel le trio travaillait de manière informelle depuis plusieurs jours et nuits. Mis gratuitement à la disposition du grand public, « WanaKiwi » devrait mettre un coup d’arrêt à la propagation du virus et clore, temporairement, un épisode peu glorieux de l’histoire de la sécurité informatique.
Il y aura beaucoup de leçons à tirer de l’affaire WannaCry, trop vite résumée à une « cyberattaque sans précédent ». En réalité, WannaCry n’était aucunement une cyberattaque et c’est justement l’existence de nombreux précédents qui inquiète le plus. WannaCry est l’arbre qui cache la forêt. Un impressionnant emballement médiatique a conduit à surestimer son impact, tout en masquant les lacunes critiques des principaux acteurs chargés d’assurer la sécurité informatique des États.
C’est donc le vendredi 12 mai que WannaCry s’est répandu comme une traînée de poudre. L’alerte est donnée en début de soirée et, en quelques heures, la situation paraît catastrophique. Des milliers d’ordinateurs sont infectés. L’attention se porte principalement sur la Grande-Bretagne où plusieurs hôpitaux sont touchés, l’incident entraînant de nombreuses perturbations. Mais des réseaux sensibles du monde entier sont également visés : le ministère de l’intérieur et la banque centrale russes, le groupe de télécommunications espagnol Telefonica, la Deutsche Bahn (la SNCF allemande) ou encore le géant américain de la livraison FedEx.
En France, l’entreprise Renault fait partie des premières victimes et doit fermer plusieurs sites de production, une « mesure de protection pour éviter la propagation du virus ». Dès le samedi 13 mai, Europol affirme que l’attaque est d’un « niveau sans précédent ».
Pour toutes ces victimes, le constat est le même. Lorsqu’elles veulent utiliser leur ordinateur, un message s’affiche : « Oups, vos fichiers ont été encodés. » Leurs fichiers ont été chiffrés par le virus et ne pourront être décryptés qu’avec un mot de passe. Pour l’obtenir, elles doivent débourser la somme de 300 dollars payables en bitcoins, la principale crypto-monnaie. Si elles ne s’exécutent pas, les données seront définitivement perdues.
Une semaine plus tard, la propagation du virus semble endiguée. Dès le 13 mai, un jeune chercheur en cybersécurité britannique, répondant au pseudo de MalwareTech, avait découvert « par hasard » une faille dans le code source du virus lui-même, permettant de freiner considérablement la diffusion. Au bout du compte, selon des estimations fournies mercredi par la société de sécurité informatique Kryptos Logic, sur les 300 000 victimes, 30 % résident en Chine et 20 % en Russie, contre 7 % aux États-Unis et 2 % en France, en Grande-Bretagne et en Allemagne. Ce qui frappe le plus, c’est la pauvreté du butin amassé par les cybercriminels. Selon des chiffres cités par Reuters, vendredi 19 mai, seules 309 rançons avaient été versées. Soit seulement une victime sur mille, pour un montant total de 94 000 dollars.
Le bilan de cette « cyberattaque sans précédent » paraît bien maigrelet comparé à ses nombreux prédécesseurs, comme le rappelle notamment le site Reflets. Dès l’an 2000, le ver informatique I LOVE YOU avait fait la une des médias internationaux en infectant 10 % des ordinateurs du monde entier, pour un dommage estimé à 5 milliards de dollars. Et un an plus tard, c’est le virus Code Red qui touchait 359 000 ordinateurs, causant 2 milliards de dollars de dégâts.
Dans l’histoire de la sécurité informatique, nombreuses sont les opérations ayant touché plus de machines et fait plus de dommages que WannaCry. Le plus inquiétant dans cette affaire n’est pas le nombre de victimes, mais bien qu’elle ait pu se produire et ce malgré les nombreux avertissements.
WannaCry est avant tout l’histoire de la faillite de la cybersécurité. « Il ne s’agit même pas d’une cyberattaque, mais d’une simple opération mafieuse », confirme Éric Filiol, chercheur en cryptologie et virologie, directeur de recherche à l’ESIEA. « Cette affaire est tout simplement désolante. C’est à se taper la tête contre les murs ! Tout ça n’aurait même jamais dû arriver. Et encore, il ne s’agissait pas d’une attaque d’un niveau très élevé. Si nous avions eu affaire à un virus du type Conficker, je n’ose imaginer ce qui serait arrivé… »
Conficker est un autre exemple de virus bien plus destructeur que WannaCry. Apparu en 2008, il avait infecté, selon les estimations, entre 3,5 et 9 millions d’ordinateurs. Mais surtout, il s’était propagé au sein de nombreux réseaux sensibles, dont le département de la défense américain et les ministères de la défense britannique et français. Plusieurs sous-marins britanniques avaient même été infectés et plusieurs chasseurs Rafale français auraient été cloués au sol par l’incident.
Concernant WannaCry, le nombre de grandes entreprises touchées a de quoi surprendre. Cela faisait plusieurs mois que son arrivée était annoncée et les directeurs de la sécurité informatique (DSI) du monde entier disposaient de tous les outils pour s’y préparer. La principale innovation de ce “rançongiciel” est en effet de se propager non pas par mail, mais en utilisant une faille bien identifiée des logiciels de Microsoft. Dès le mois de mars, la société avait même diffusé un « patch » permettant de la corriger.
La publication de ce correctif arrivait à point nommé. Car visiblement, la vulnérabilité avait déjà été repérée par d’autres, et notamment par la NSA américaine. Le 14 avril, un groupe de hackers se faisant appeler Shadow Brokers publiait une série d’outils de l’agence américaine utilisant des vulnérabilités « 0 Day », c’est-à-dire n’ayant fait l’objet d’aucune publication ni correctif. Parmi ceux-ci figure ETERNALBLUE, qui utilise exactement la même faille que WannaCry. La parenté entre WannaCry et ETERNALBLUE a très vite été établie. Dès le 13 mai, Microsoft publiait d’ailleurs une alerte appelant ses utilisateurs à mettre à jour leurs logiciels.
Cela veut donc dire que, durant deux mois, les responsables en cybersécurité des entreprises victimes ont ignoré ces différentes mises en garde et omis de mettre à jour leurs réseaux. Éric Filiol ne mâche pas ses mots : « C’est révoltant, scandaleux. Aujourd’hui, je vois plus de DSI faire les beaux dans les salons de cybersécurité que de DSI faisant correctement la base de leur travail. Je suis désolé, mais ceux des entreprises visées devraient selon moi être tout simplement virés. »
Cette incurie ne serait pas limitée au cas de WannaCry. « Il y a un véritable problème non seulement de gestion des attaques, mais tout simplement de culture. On se souvient de la découverte en 2014 de la faille de sécurité “HeartBleed” qui touchait OpenSSL. À l’époque, cette grave vulnérabilité, qui existait déjà depuis deux ans, avait fait la une des journaux. Et pourtant, il y a quelques mois a été publié un audit révélant que 200 000 serveurs n’étaient toujours pas sécurisés ! Cela veut dire que, depuis 2014, ils n’ont rien fait pour corriger une telle faille. Si les gens ne font pas le travail de base, que voulez-vous, on court forcément à la catastrophe… »
« Les citoyens sont en danger »Il est impossible de ne pas évoquer la responsabilité, ou plutôt l’irresponsabilité, des États et de leurs agences de renseignement qui ont mené un travail de sape de la sécurité informatique mondiale. Cela fait des années que des hacktivistes et chercheurs dénoncent l’agressivité des méthodes employées par les agences gouvernementales. Que ce soit en imposant aux entreprises du Net d’installer dans leurs produits des “backdoors”, des portes dérobées, ou en développant des outils pour exploiter des vulnérabilités existantes, les hackers des services de renseignement ont introduit autant de faiblesses dans la sécurité informatique mondiale.
Ces outils et failles sont censés rester secrets. Mais l’expérience montre que c’est rarement le cas. Lorsqu’une vulnérabilité est introduite dans un système, il se trouvera toujours un hacker, un lanceur d’alerte, un cybercriminel ou une agence gouvernementale pour la repérer et soit la dénoncer pour qu’elle soit corrigée, soit l’utiliser dans son propre intérêt.
Edward Snowden fait partie de ceux qui ont pointé du doigt les méthodes de la NSA. Le 13 mai, il soulignait sur Twitter l’ironie de la situation : « Prenez un moment pour vous demander pourquoi on nous laisse avec des chercheurs, et non des gouvernements, pour essayer de contrer la pagaille permise par le ransomware de la NSA. » Son tweet était accompagné d’un lien vers un article faisant état d’un rapport de la société Cisco, selon lequel 90 % des dépenses effectuées dans le cadre de cyberprogrammes par l’ensemble des agences américaines étaient dédiées à des opérations offensives.
WannaCry aura au moins permis de pointer clairement la responsabilité des États. Vendredi, le fondateur de Wikipedia, Jimmy Wales, a ainsi qualifié le ransomware « d’énorme foirage » du gouvernement américain. « C’est quelque chose qui aurait dû être réglé au moment où la NSA l’a découvert. Il aurait dû le notifier à Microsoft pour qu’ils puissent discrètement publier un correctif. (…) Il est très problématique de voir les services de sécurité stocker et armer des choses qui sont très risquées pour le public », a déclaré Jimmy Wales sur NBC.
De son côté, le président de Microsoft, Brad Smith, a réclamé, dans un texte publié le 14 mai, une « convention de Genève numérique » qui protégerait les citoyens des cyberguerres que se livrent les services. Celle-ci imposerait notamment aux gouvernements de signaler toute vulnérabilité aux entreprises.
Cette prise de conscience du géant de l’informatique ne convainc pas vraiment Éric Filiol. « Ce sont des gesticulations, car ils savent très bien qu’ils ne l’auront jamais. Mais surtout, c’est l’hôpital qui se fout de la charité. Microsoft se fait des milliards sur notre dos sans que l’on ne puisse rien dire. Qu’ils commencent par faire leur boulot », assène le chercheur.
Comme l’ont montré les révélations d’Edward Snowden, les grandes entreprises du Net américaines ont toujours activement collaboré avec leurs agences de renseignement, sous la contrainte ou volontairement. Et la firme fondée par Bill Gates est connue pour avoir déjà installé volontairement des backdoors dans ses produits. Malgré ses démentis, l’existence de ces fonctions cachées a même été confirmée dès 2000 par le gouvernement français dans un rapport du ministère de la défense, classé secret mais cité dans un rapport parlementaire.
Le cœur du problème est que la vulnérabilité des systèmes informatiques, qui devrait être l’exception, est devenue une règle, une condition de fonctionnement indispensable. Il existe même un marché des failles « 0 Day », où des vulnérabilités s’échangent pour quelques milliers ou quelques millions de dollars. Une partie de cette économie est légale et encadrée, avec des sociétés spécialisées comme la franco-américaine Vupen. Une autre partie est souterraine. Mais sur ce point, les intérêts des agences de renseignement et des groupes cybercriminels convergent.
« La cyberguerre nécessite un marché des vulnérabilités », analyse Éric Filiol. « Celles-ci n’ont un intérêt que si l’on veut des systèmes faibles. Et toute une économique s’est construite là-dessus », poursuit le chercheur. Aujourd’hui, « les États ne peuvent agir que s’ils maintiennent un certain niveau d’insécurité permanente. Et cette insécurité permanente est entretenue par le marché des vulnérabilités ». Selon lui, la solution serait de « pénaliser les ventes de failles 0 Day. Or, non seulement elles ne sont pas pénalisées, et en plus on les favorise ».
Un avis que partage Bluetouff, hacker et journaliste de Reflets. Dans un article publié le 17 mai, il appelle à pénaliser « la bêtise numérique » en interdisant les ventes de failles 0 Day, mais également en sanctionnant les entreprises trop laxistes en matière de sécurité. « Au risque d’en choquer certains, il devient nécessaire de réprimer les personnes physiques ou morales qui connectent quoi que ce soit à Internet alors qu’elles savent que plus aucun correctif de sécurité n’est assuré sur l’objet qu’ils connectent à Internet », écrit-il.
En définitive, WannaCry est bien plus inquiétant pour ce qu’il révèle de l’état de notre cybersécurité que par les dégâts qu’il a pu causer. Entre de grandes entreprises qui n’entretiennent pas leur parc informatique, des fabricants de logiciels qui fournissent des produits non sécurisés et des agences gouvernementales qui utilisent et entretiennent un marché des vulnérabilités, les cybercriminels ne sont peut-être pas les plus à craindre. « Cette affaire pose de nombreux problèmes », résume Éric Filiol. « Il y a tout d’abord les DSI qui ne font pas leur boulot. Mais il y a également notre hyper dépendance à Microsoft. Cette société équipe aujourd’hui une bonne partie de nos administrations, du ministère de la défense à l’éducation nationale. Que se passera-t-il si, un jour, la France entre en conflit avec les États-Unis ? »
Pour Éric Filiol, la solution passe par une prise de conscience politique. « Nous sommes dans une situation qui met en danger les citoyens car les États ont peur de leur rôle régulateur », estime-t-il. Mais les agences de renseignement ont également une grande part de responsabilité. « Nous courons à la catastrophe », poursuit le chercheur. « Il faut une convention internationale, comme celle d’Ottawa pour les mines antipersonnel ou celle de Paris pour les armes chimiques. »
En attendant cette éventuelle prise de conscience, les cybercriminels poursuivent leurs affaires. Mercredi 17 mai, les Shadow Brokers ont annoncé détenir encore de nombreux outils dérobés à la NSA. Ils comptent les mettre en vente à partir du mois de juin sous la forme d’un abonnement à un « club », le « Shadow Brokers Data Dump of the Month’s service ». En échange d’un abonnement mensuel, ses « membres » recevront chaque mois un lot de données. « Ce que les membres font ensuite des données ne dépendra que des membres », précisent les Shadow Brokers.