WannaCry : une attaque qui ne pouvait que réussir....

Charles Cuvelliez

Publié le 16 mai 2017 à 13:40 - Mis à jour le 16 mai 2017 à 13:48

Le vrai problème de la cyberattaque WannaCry, c'est Windows! Par Charles Cuvelliez, professeur à l'Ecole Polytechnique de Bruxelles, ULB

La cyberattaque WannaCry brille par les 2 cyber-ingrédients désormais classiques : des mails plus vrais que nature qu'un utilisateur distrait cliquera et une propagation par exécution à distance sur d'autres machines. Plus étonnant est le message de Microsoft sur son blog appelant les États à coopérer et, plutôt que garder les failles de vulnérabilité qu'ils découvrent (comment ?), les révéler. Microsoft a raison sur un point : la prolifération - qui veut qu'une arme nouvelle soit toujours tôt ou tard copiée/disséminée - n'a pas de raison de s'arrêter aux cyberarmes. La NSA qui aurait développé le vecteur qui a servi à cette attaque, le savait....

Deux différences toutefois : ce n'est pas un État qui a mené l'attaque mais un groupe criminel et toutes les armes développées ne finissent pas toujours dans leurs mains pour peu qu'on y prenne garde (cf le nucléaire). Autre idée de Microsoft : inclure les cyberarmes dans la convention de Genève : elles s'en prennent plus souvent aux civils qu'aux armées. A ce titre, elles devraient être interdites (au moins par traité). Microsoft a décidé, exceptionnellement, de fournir un patch pour les versions de Windows qui ne sont plus supportées, dont l'emblématique (de ce point de vue) Windows XP. Tout cela est très beau mais le problème, c'est tout de même Windows aussi.

L'attaque a été stoppée par un chercheur qui a constaté que le rançongiciel tentait de contacter un site inexistant, une manière de voir s'il a été repéré : les systèmes qui interceptent les malwares interceptent aussi leurs communications pour éviter des fuites de données. Or le malware s'il voit qu'un site qu'il sait inexistant lui répond sait alors qu'il a été découvert.

Les rançongiciels

Symantec observe une migration des cibles des rançongiciels : les entreprises (31 % des attaques). Ils traversent d'abord tout le réseau interne, via des instructions élémentaires du système Windows, à la recherche d'une maximum d'ordinateurs avant de se mettre à chiffrer leur contenu. La rançon moyenne est passée de 294 $ en 2015 à 1077 $ en 2016, preuve du succès de ces attaques. Les antivirus ont détecté, par jour, 1539 rançongiciels en 2016 contre 846 en 2015. On classe les rançongiciels par famille, avec une moyenne de 30 nouvelles par an en 2014 et 2015 mais 101 en 2016. C'est un signe, dit Symantec, que de nouveau hackers s'y mettent plutôt que les acteurs déjà en place qui se contentent de varier leur création au fil des détections.

Dans un scénario d'attaque, un utilisateur imprudent finit par ouvrir une pièce annexe d'un mail plus vrai que nature : un petit bout de programme est téléchargé. Il se met à chiffrer les fichiers à l'insu de son propriétaire qui n'est averti qu'une fois le mal fait et le programme s'auto-détruit pour effacer les traces. Certains rançongiciels détectent aussi les back up en cours et les stoppent. Les paiements de rançon se font par bitcoin mais de plus en plus par des cryptomonnaies concurrentes et plus anonymes. Citrix prétend d'ailleurs que beaucoup d'entreprises britanniques auraient un compte bitcoin au cas où d'ailleurs. Norton avance un chiffre de 47 % des rançons qui sont payées.

Newsletter

Ma Tribune

L’actualité qui compte pour vous, chaque jour dans votre boîte mail.

Les attaques ciblées

WannaCry a éclipsé une vraie nouveauté en 2016 : les attaques ciblées autopromotionnelles c'est-à-dire qui font tout pour que cela se sache : les Macronleaks (assez inoffensives dans ce cas) en sont le dernier exemple.

On l'habitude de voir les attaques qui visent à exfiltrer des données rester discrètes et à s'inscrire dans la durée pour en profiter le plus longtemps possible: rien de tel ici. Plus cela se sait, plus les données volées sont exposées, mieux c'est, quitte à y ajouter des faux au passage. Ici, le caractère subversif prime; le but est de générer un sentiment que quelque chose ne tourne pas/ plus rond puisque les démocraties ne sont même plus capables d'organiser leur fondement: les élections. Ce n'est pas si étonnant que seules les démocraties occidentales voient leurs élections perturbées et pas celles des autres démocraties, appelées pudiquement « non libérales ».

L'autre caractéristique de ces attaques est de ne même plus avoir recours à des virus. Il s'agit, via un clic malheureux dans un mail même pas suspect, de déclencher les instructions légitimes, dans les documents Office en annexe. Ces instructions placent de quoi exfiltrer les données. Ces dernières vont vers un cloud qui semble légitime. Les pirates font ainsi l'économie des adresses bizarres plus facilement détectables que vers un cloud que les employés utilisent aussi. On note un glissement des campagnes massives de mails à la recherche d'un naïf/curieux qui cliquera où il ne faut pas vers l'envoi de mails très ciblés vers des destinataires choisis. La fameuse fraude au président en est un exemple.

Ce sont les sociétés entre 251 et 500 employés qui sont le plus visées : elles ont la taille pour avoir des données qui en valent la peine sans avoir les moyens d'avoir une équipe dédiée à la sécurité de l'information. Parfois ce sont des factures envoyées par email par les pirates un jour ou deux avant les vraies factures, une manière efficace de tromper la vigilance des employés qui les traitent. Ou alors, c'est le serveur mail qui est pénétré pour modifier les mails qui contiennent les factures. Les attaquants testent les défenses de la cible et se retirent si elles sont efficaces. Une autre tactique : envoyer des milliers d'emails d'un grand nombre d'adresses IP très vite pour ne pas laisser le temps aux anti-spams de réagir. Une nouvelle tactique a vu le jour en 2016 : les spams sous forme de notification de message non délivré et la possibilité offerte soi-disant par votre FAI de consulter sur un site le mail tel qu'il aurait été envoyé par vous avec les raisons de l'échec. La curiosité l'emporte

Le piratage des mails

Rien de plus simple que de pirater une boite mail en trompant la vigilance de son propriétaire en faisant croire à un accès compromis par un tiers à son compte gmail (qui n'a pas déjà reçu de telles alertes, légitimes, de Google). Après avoir cliqué sur le lien, l'utilisateur est redirigé vers un site imitant la page de réinitialisation du mot de passe. Les signes annonciateurs de telles attaques sont l'ouverture de noms de sites qui ressemblent très fort aux appellations officielles des services qu'on veut pirater. Une fois souligné, comme souvent pour les liens à cliquer, qooqle.com ne ressemble-t-il pas très fort à google.com ? Même la validation à deux étapes peut être contournée (mais plus difficilement): l'utilisateur grugé interagit avec la page de support support.qooqle.com et le pirate intercepte la frappe au clavier pour le répéter sur le vrai site support.google.com....y compris le SMS avec le code de validation.

Après les mails

On sait déjà qui succédera aux mails comme cible des attaques : la messagerie et les réseaux sociaux. Ces derniers véhiculent bien plus de services que la simple communication. Pouvoir tromper un utilisateur via du social engineering pour l'amener à utiliser un service ou une application du réseau social sera bien plus dommageable. Wechat est une application de messagerie qui sert à tout faire, payer, shopper,...tout cela à l'aide de messages simples.

Pour en savoir plus: Internet Security Threat Report, Symantec, Volume 22, 27 April 2017

Charles Cuvelliez