Ce samedi, on estime à près de 200 000 le nombre d'ordinateurs touchés par le virus WannaCrypt. Si l'infection semble pour le moment contenue au niveau mondial, il ne fait aucun doute qu'il ne s'agissait que d'un prélude. Pour mieux comprendre les évènements de ce week-end, et surtout ceux qui sont sur le point de se produire, plusieurs éclaircissements sont nécessaires. L'article de Mediapart publié aujourd'hui rappelle les faits.

Pour commencer, qu'est-ce qu'un "ransomware" ? C'est le nom donné aux virus dont l'objectif est d'empêcher l'utilisateur d'accéder à ses données jusqu'à ce qu'il ait payé une rançon (par opposition à un virus qui pourrait, par exemple, chercher à subtiliser des données bancaires). Pour accomplir cela, un ransomware utilise des algorithmes cryptographiques pour chiffrer les documents de la victime. La clé de déchiffrement n'est divulguée qu'en échange d'un paiement dans une monnaie virtuelle (le Bitcoin par exemple). Les garanties apportées par la cryptographie moderne font qu'il est strictement impossible de récupérer les fichiers perdus. Trois alternatives sont offertes à la victime :

  • Restaurer les données depuis une sauvegarde antérieure. L'expérience montre cependant que dans le monde de l'entreprise comme chez les particuliers, celles-ci existent rarement. Il faut également prendre le soin de les stocker sur un medium hors-ligne, faute de quoi elles pourraient être elles aussi prises en "otage" par le virus.
  • Payer la rançon, même si nul ne peut garantir que les escrocs tiendront leur part du marché. Des considérations morales peuvent également inciter à ne pas valider la démarche des attaquants en les rémunérant.
  • Réinstaller totalement la machine infectée et renoncer aux données perdues.

Le fléau des ransomwares n'a rien de nouveau : les internautes reçoivent depuis plusieurs années des e-mails piégés qui conduiraient à une infection en cas de clic malencontreux sur la pièce jointe. Le caractère notable de cette attaque est lié à son mode de propagation : nul besoin ici que l'utilisateur ne commette une erreur, tout ordinateur utilisant Windows qui est connecté à internet est susceptible d'être infecté. Car WannaCrypt n'est pas juste un ransomware, c'est aussi un "ver".

Les vers sont des programmes malveillants qui ont la capacité de s'autopropager. Une fois installés sur un nouvel ordinateur, ils partent automatiquement à la recherche de nouvelles victimes. Si on imagine que chaque poste touché en infecte deux autres (une hypothèse conservatrice), on devine la vitesse fulgurante avec laquelle le virus se propage : d'abord une victime, puis deux, puis quatre, puis huit, etc. Le "ver" le plus célèbre (jusqu'à aujourd'hui) est appelé Blaster. En 2003, il avait d'après Wikipedia infecté des centaines de milliers de machines et causé plus de 2 milliards de dollars de dommages.

WannaCrypt est la première instance observée de virus qui est à la fois un ver et un ransomware. Il s'agit d'une évolution naturelle et prévisible des outils de la cybercriminalité, qui n'attendait que l'apparition d'une faille critique à exploiter. Et la faille qui nous occupe aujourd'hui est intéressante à plus d'un titre. Pour commencer, elle a un niveau de dangerosité critique : elle permet de prendre le contrôle à distance d'un ordinateur Windows sans aucune interaction de l'utilisateur - en d'autres termes, le pire scénario imaginable, celui qui se produit une fois tous les dix ans. Un correctif a été publié par Microsoft en avril dernier. Malheureusement, les pratiques de sécurité de nombreuses entreprises ou utilisateurs ne les conduit pas toujours à avoir des machines à jour. En pratique, un mois pour mettre à jour les Windows du monde entier est impossible : des centaines de milliers d'ordinateurs sont toujours vulnérables.

Les particuliers ont la chance d'être relativement protégés : il est rare qu'un ordinateur personnel soit directement relié à internet. Les diverses "box" des opérateurs font écran et ne permettent pas un accès direct au réseau des clients depuis l'extérieur. Le monde de l'entreprise, lui, a besoin de rendre certains services accessibles à tous : sites internet, serveurs de fichiers, accès à distance pour les employés en déplacement, etc. Cela implique de laisser des ordinateurs exposés sur internet ; et si ceux-ci n'ont pas été mis à jour, ils sont susceptibles d'être infectés. Pour aggraver les choses, le ver peut ensuite utiliser ces machines pour se répliquer à l'intérieur du réseau, y compris vers des machines qui ne sont pas directement connectées à internet et qu'on aurait pu croire protégées. C'est ainsi que des usines, des distributeurs de billets ou des panneaux d'affichage d'aéroports ont pu être touchés.

On peut légitimement se demander comment une faille aussi importante a pu être découverte : Windows est-il si peu sécurisé que le premier cybercriminel venu peut y trouver des vulnérabilités béantes ? En réalité, c'est tout le contraire. Depuis une bonne dizaine d'années, Microsoft a fourni des efforts majeurs pour rendre son système d'exploitation plus résistant - et ceux-ci payent. Le travail qu'il a fallu fournir pour trouver cette vulnérabilité, puis trouver le moyen de l'exploiter pour prendre le contrôle de l'ordinateur cible s'estime en mois-homme (voire années homme). Sur le marché noir des armes numériques, j'estime le coût d'un tel programme à 1.5 millions de dollars. Pourtant, les gains recensés du ransomware WannaCrypt tournent pour le moment autour de 20 000$. Beaucoup d'infections ne seront découvertes que lundi, mais il s'agit néanmoins d'une récolte décevante qui ne rentabiliserait pas l'investissement.

Sauf que pour les cybercriminels, cette vulnérabilité a été gratuite.

Au vu du travail de R&D considérable à engager, peu d'acteurs sont capables de mettre au point ces programmes d'attaque : quelques sociétés spécialisées dans la création d'armes numériques et leurs clients, les agences de renseignement. Ces services utilisent ces vulnérabilités dans le cadre de leurs opérations de renseignement. Celle du jour appartenait à la NSA. Mais comment l'arsenal numérique de la NSA a-t-il pu tomber entre les mains de vulgaires escrocs ? L'histoire est passionnante, mais beaucoup de détails restent à élucider.

En août dernier, un mystérieux groupe de hackers appelé "The Shadow Brokers", jusqu'alors inconnu, a annoncé avoir en sa possession l'arsenal numérique de la NSA. Une mise aux enchères était organisée, mais les modalités de celle-ci se sont révélées trop complexes pour que quiconque puisse faire une offre sérieuse. Ils avaient cependant publié une partie des outils de la NSA afin que prouver qu'ils les avaient en leur possession. Devant l'échec des enchères, la suite de l'arsenal a graduellement été divulguée, toujours accompagnée de communiqués de presse outranciers. L'identité et les motivations de ces hackers continuent de nourrir un flot incessant de spéculations, car leur comportement suscite de nombreuses questions. Comment ont-ils mis la main sur ces données ? Pourquoi ne pas revendre ces outils à une agence de renseignement concurrente des Etats-Unis, à prix d'or ? Les divulgations progressives ne traduisent-elles pas une volonté d'offrir un spectacle, ou d'embarrasser les agences étasuniennes ? Plusieurs experts (comme le cryptologue Bruce Schneier) croient y voir une opération de démoralisation, face émergée de la cyber-guerre que se livrent en secret la Russie et les Etats-Unis.

Toujours est-il que le mois dernier, les Shadow Brokers ont publié une nouvelle archive contenant plusieurs vulnérabilités critiques utilisées par la NSA. On pense immédiatement à cette allocution de Bernard Barbier ancien directeur technique de la DGSE, qui évoquait une attaque informatique américaine visant l'Elysée, vraisemblablement avec cet arsenal précis. Aujourd'hui, ces outils extrêmement performants sont à la disposition de tous : n'importe quel informaticien familier du domaine peut les réutiliser, voire les adapter à ses besoins. Le cas de WannaCrypt en est l'exemple le plus visible, mais il ne fait aucun doute que des attaques plus discrètes sont aussi conduites grâce à ces publications.

Outre-atlantique, la NSA se trouve une fois de plus dans une position très délicate : l'agence a pour double-mission de collecter du renseignement, et de protéger les intérêts nationaux. A chaque vulnérabilité acquise ou découverte, deux options s'ouvrent : faut-il utiliser la faille pour conduire des opérations de piratage, ou au contraire la signaler à l'éditeur du logiciel pour qu'il puisse la corriger, renforçant ainsi la sécurité des entreprises nationales ? Il semblerait que la NSA ait plutôt privilégié la voie offensive jusqu'ici, mais il est certain que des comptes lui seront demandés dans les semaines qui viennent :

  • Comment l'agence a-t-elle pu perdre le contrôle de son arsenal, alors qu'elle est supposée représenter le fleuron de la cyberdéfense ?
  • Est-il acceptable que des milliards de dollars de dommages soient causés, y compris aux Etats-Unis, avec des logiciels développés par le gouvernement lui-même ?

Cette semaine, les services de renseignement du monde entier devront eux aussi faire leur introspection, et évaluer les risques que leur propres armes numériques font peser sur les intérêts nationaux.

Pour ce qui est de WannaCrypt, la première vague d'infection a pu être stoppée aujourd'hui par l'action d'un chercheur indépendant qui a découvert une fonctionnalité du virus qui peut être détournée pour bloquer sa propagation à l'échelle mondiale. On serait tenté de souffler ; pourtant le pire est à venir. Si cette version du ransomware est arrêtée, elle a déjà causé des dégâts considérables. Mais surtout, les ordinateurs vulnérables aujourd'hui le seront toujours demain. Il y a fort à parier que les auteurs de WannaCrypt lanceront incessamment sous peu une nouvelle version du virus qui ne pourra plus être stoppée. Des initiatives criminelles concurrentes sont probablement en cours de développement.

En d'autres termes, la bataille ne fait que commencer.

Le Club est l'espace de libre expression des abonnés de Mediapart. Ses contenus n'engagent pas la rédaction.