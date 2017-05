"Nous menons des opérations contre environ 200 cyberattaques par an mais nous n'avions encore jamais rien vu de tel", a expliqué Rob Wainwright, le directeur d'Europol à la chaine ITV, au sujet de la cyberattaque mondiale qui a eu lieu ce vendredi 12 mai. Selon Europol, avec plus de 150 pays affectés par le logiciel WanaCryptor 2.0, dont le système informatique du service de santé nationale britannique NHS, le groupe français Renault, l'entreprise de télécommunication espagnole Telefónica et les ordinateurs du ministère de l'intérieur en Russie, le monde a été submergé par une vague de panique. Mais après quelques heures, ce logiciel malveillant a accidentellement été stoppé dans son élan par un Britannique de 22 ans dont l'identité reste inconnue. Le jeune homme, uniquement connu sous le nom de @malwaretechblog sur Twitter, est remonté à la source de l'attaque : une faille dans le système Windows de Microsoft, que le géant informatique s'est très vite empressé de modifier.

Plus de 200 000 victimes touchées par le virus

Le logiciel WanaCryptor 2.0, aussi appelé WannaCry exploite la faille de Windows et s'infiltre dans les ordinateurs pour voler leurs données privées. Il demande ensuite une rançon au propriétaire, pouvant s'élever à 300 dollars, pour que celui-ci puisse récupérer ses données. Dès le vendredi 12 au soir, le programme s'était diffusé principalement en Europe et en Russie mais aussi aux Etats-Unis et en Amérique du Sud. D'après le ministère de l'Intérieur russe, plus de 1.000 ordinateurs ont été infiltrés. Le mouvement de panique du vendredi soir était justifié : le maliciel est allé jusqu'à supprimer certaines opérations, des résultats de tests et et des dossiers médicaux dans les hôpitaux britanniques.

Comment un jeune de 22 ans a-t-il donc pu accidentellement trouver la faille ? En se connectant à une plateforme interactive sur les menaces de la cybercriminalité, le jeune homme qui travaille depuis plus d'un an chez Kryptos logic, une entreprise spécialisée dans la sécurité informatique, remarque les témoignages de quelques victimes de "rancongiciel". Ne considérant rien d'anormal, il part déjeuner avec un ami. Ce n'est que quelques heures plus tard, à son retour, qu'il constate l'étendue des dégâts: des milliers de systèmes informatiques infectés par le logiciel.

Le jeune britannique décide alors de s'intéresser au code du programme dans lequel il trouve une anomalie : le nom du domaine, c'est-à-dire l'URL finissant par ".com" n'est enregistré au nom de personne, comme c'est le cas pour beaucoup de logiciels malveillants. Par habitude, il enregistre donc et achète ce domaine pour seulement 9,78 euros, afin de mieux comprendre son fonctionnement.

"Mon intention était de simplement surveiller la propagation et de voir si on pouvait faire quelque chose pour l'arrêter plus tard. Mais nous avions en réalité arrêté la propagation simplement en enregistrant le domaine", confirme @malwaretechblog sur son blog MalwareTech.

Il remarque immédiatement que des milliers de connections au logiciel se font toutes les secondes, ce qui lui permet de suivre en direct leur évolution décroissante après son achat du domaine. Il envoie ensuite le logiciel à Darien Huss qui travaille dans une autre entreprise de sécurité, Proofpoint, afin qu'il en vérifie l'état. Celui-ci le rassure en lui apprenant qu'il avait réussi à neutraliser le virus, car entre temps, le jeune homme avait été informé que son achat du domaine avait aggravé la situation. A tort. Pour certains spécialistes, le caractère public du nom de domaine du logiciel est volontaire, afin de permettre à son créateur de l'arrêter en cas d'urgence.

Même si la solution du jeune britannique ne pourra pas sauver les ordinateurs déjà infectés par le virus, notamment en Europe et en Asie, qui ont été les plus sévèrement touchés, elle permet aux personnes aux États-Unis par exemple, d'être protégées contre le virus.

Suite à cet incident, Microsoft qui avait corrigé la faille de son système lorsque celle-ci avait été découverte en mars 2017, a insisté sur l'importance de faire une mise à jour afin de contrer le logiciel malveillant.

"Quinze minutes de gloire"

Le jeune britannique est encore aujourd'hui sous le choc de sa soudaine célébrité. Il refuse cependant de dévoiler son identité, malgré l'acharnement des médias qui inondent sa boite mail.

Il explique au Guardian: "Ça n'a pas de sens de rendre publiques mes informations personnelles. Il est évident que nous luttons contre des personnes mauvaises, et qu'elles ne vont pas être contentes de ce que nous avons."

Il ne prend pas cependant ses "quinze minutes de gloire" et l'intervention des médias au sérieux, préférant en rire sur Twitter avec l'image d'une fausse page Amazon dans laquelle il tente de renvoyer la petite célébrité qu'il a reçu sur Internet :

"L'objet à rendre : 15 minutes de gloire. La raison : a duré 48 heures de plus que prévu et a cassé ma boite mail. Je suis aussi presque certain que des journalistes se cachent dans mon frigo."

Préférant l'anonymat, il confie très peu de sa vie au Guardian : ayant quitté l'école sans diplôme pour se consacrer entièrement à sa passion de l'informatique, l'autodidacte vit aujourd'hui chez ses parents. Il en plaisante en qualifiant sa situation de "tellement cliché", pour un "chevalier noir du web profond", comme le considère le journal britannique.

So I can only add"accidentally stopped an international cyber attack" to my Résumé. ^^ — MalwareTech (@MalwareTechBlog) May 13, 2017

"Je peux seulement ajouté 'a accidentellement arrêté une cyberattaque internationale' à mon CV"

Sur une note plus sérieuse, le "héro accidentel du jour" prévient sur Twitter et sur son blog de la possibilité d'une seconde attaque lorsque le cybercriminel aura rectifié son logiciel et varié son code.

"Ce n'est pas fini. Les pirates réaliseront comment nous avons fait pour les arrêter, et ils changeront le code de leur logiciel et recommenceront. Faites la mise à jour Windows et relancez vos systèmes," explique-t-il dans un tweet.

Cependant, les Américains restent certains de pouvoir arrêter ces pirates. Selon Oliver Gower, de la National Crime Agency (Agence de crime national), interrogé par ITV: "Les cyber-criminels peuvent penser qu'ils sont anonymes, mais nous utilisons tous les outils à notre disposition pour les traduire en justice."