Tout savoir sur WannaCry, le ransomware qui a attaqué le monde

 

Il y a quelques années, vous avez peut-être entendu parler d’une cyberattaque endémique, d’un danger pour tous les systèmes d’exploitation Microsoft Windows ayant fait des milliards de dollars de dégâts : le ransomware wannacry.

 

Si vous êtes passé au travers, tant mieux pour vous, car le logiciel malveillant WannaCry a infecté plus de 300.000 utilisateurs de par le monde en aidant les hackers à extorquer de l’argent à leurs victimes. Dans cet article, on vous explique tout ce qu’il y a à savoir sur le cryptoworm WannaCry.

 

Qu’est-ce que WannaCry ? 

WannaCry, WCry, Wanna Decriptor, Wannacrypto 2.0 ou encore Wanna Decrypto 2.0 est un ransomware utilisant la faille EternalBlue sur les systèmes d’exploitation Windows. L’attaque a engendré plus de 4 milliards de dollars de dégâts en rançonnant plus de 300.000 personnes dans le monde.

 

Mais comment une attaque d’une telle envergure a-t-elle pu voir le jour ? Si les premiers hackers s’emparent du ransomware à partir du 12 mai 2017, la faille EternalBlue aurait en fait été découverte quelques mois plus tôt par la NSA, puis volée par le groupe de hackers The Shadow Brokers.

 

Rapidement patchée, la faille a pu continuer d’être exploitée en raison des nombreux particuliers et entreprises n’ayant pas mis à jour leur système. Aussi, même si la partie endémique de l’attaque s’est terminée en 2017, certains hackers trouvaient encore des ordinateurs fragiles en 2021, et en trouvent encore même aujourd’hui.

 

Comment est apparue la cyberattaque WannaCry ? 

 

Le malware wannacry a été développé après que le groupe The Shadow Brokers ait révélé l’exploit EternalBlue découvert par la NSA. En publiant cette faille de sécurité zero-day, le groupe de hackers a permis le développement de l’un des rançongiciels les plus dévastateurs de l’histoire d’Internet.

 

Dès la mise au jour de la faille zero-day, un patching a été mis à disposition gratuitement pour tous les utilisateurs Windows, mais, les utilisateurs ont hélas été pris de vitesse, et par surprise par les hackers qui ont rapidement su exploiter la faille.

Qui est à l’origine de l’attaque WannaCry ?

Les responsabilités de l’attaque WannaCry sont partagées, entre la NSA qui a laissé dérober une importante faille de sécurité sur laquelle elle travaillait, le groupe The Shadow Brokers qui l’a publié, et le hacker qui a su la convertir en un logiciel de rançon. 

 

Cependant, l’identité du créateur du logiciel malveillant reste nébuleuse. En 2018, les États-Unis accusaient officiellement un hacker Nord Coréen, mais l’année suivante, c’est l’homme qui a permis de mettre un terme à l’attaque, Marcus Hutchins, qui se dénonçait pour les faits. 

 

Comment s’est propagé WannaCry ?

Le ransomware WannaCry s’est propagé grâce à plusieurs vecteurs. D’abord, comme tout logiciel, il a eu besoin d’être installé sur un ordinateur. Pour cela, il a pu être implanté physiquement dans un réseau par un dispositif USB corrompu, ou téléchargé involontairement à partir d’un e-mail de phishing.

 

Une fois sur le réseau, WannaCry est auto-répliquant. Cela signifie qu’il va chercher à se multiplier sur l’ensemble des machines connectées. Parallèlement, les hackers ont essayé d’infecter un maximum d’ordinateurs grâce à des stratégies de hameçonnage et en exploitant la faille ExternalBlue.

 

Une fois sur un ordinateur, le ransomware commençait par s’exécuter en arrière-plan afin de chercher l’accès à une URL “kill-switch”. Quand il ne la trouvait pas, il débutait le chiffrement des différents fichiers sensibles de l’utilisateur avant de réclamer une rançon.

 

Comment fonctionne WannaCry ?

Une fois installé sur un ordinateur, le programme wannacry dispose de 3 composantes : un système de chiffrement qui rend les fichiers illisibles, des clés de déchiffrement pour les rendre lisibles à nouveau, et une copie de Tor (the onion route) pour masquer la connexion.

 

Quand les fichiers de l’ordinateur sont devenus inaccessibles, le ransomware demande une rançon à l’utilisateur. À l’origine, cette rançon était de 300$ en Bitcoin, mais les hackers sont rapidement passés à 600$. En termes financiers, c’est la plus grande cyberattaque de l’histoire d’Internet.

 

Qui sont les victimes de WannaCry ?

 

Les victimes de WannaCry sont les ordinateurs non patchés pour la faille EternalBlue. S’ils deviennent rares aujourd’hui, ils ne l’étaient pas en 2017 où plus de 300.000 particuliers et entreprises dans plus de 150 pays ont été rançonnés. La Russie, l’Ukraine, l’Inde et Taïwan auraient été les pays les plus touchés.

 

Quel impact l’attaque Wannacry a-t-elle eu sur le monde ? 

Wannacry reste aujourd’hui la plus grande cyberattaque de l’histoire d’Internet. Ainsi, si elle a fait perdre plus de 4 milliards de dollars à au moins 300.000 utilisateurs, elle a également permis d’éveiller les consciences sur le sujet de la cybersécurité.

 

C’est notamment l’importance des mises à jour, mais également la prudence contre le hameçonnage ou les périphériques inconnus qui ont été mis en avant depuis l’attaque. Il a également été répété qu’il valait mieux ne pas payer la rançon, rien ne garantissant le rendu des données après.

 

Comment se protéger des cyberattaques comme WannaCry ?

 

En informatique, dans le domaine de la cybersécurité, il existe plusieurs bonnes pratiques que chacun peut mettre en œuvre pour se protéger des cyberattaques comme WannaCry : 

 

1. S’assurer que son système d’exploitation et ses différentes applications et logiciels sont régulièrement mis à jour. C’est sur les versions obsolètes que les failles de sécurité sont les plus importantes.

 

1. Prendre garde aux e-mails suspects. Pour cela, il ne faut jamais ouvrir les pièces jointes des e-mails dont vous n’êtes pas sûr de l’expéditeur. De surcroît, il faut faire attention aux adresses mail piratées, si un mail vous parait suspect, contactez la personne par un autre moyen.

 

1. Se méfier du téléchargement. On peut renommer un fichier comme on veut. Ainsi, un malware pourrait avoir le nom d’un film, ou d’un document. Pour se protéger, il ne faut télécharger des fichiers que depuis les sites de confiance. Le certificat ssl d’un site peut vous aider à vérifier s’il est digne de confiance.
2. Prendre garde aux clés USB. Elles peuvent contenir des ransomwares. Vous ne savez pas à qui une clé appartient ? Ne la branchez pas.
3. Miser sur la sécurité. De nombreux logiciels, VPN et pare-feux permettent de chiffrer votre connexion, d’isoler et de vérifier les flux de données sur votre ordinateur. Assurez-vous d’en avoir un bon, et de le mettre régulièrement à jour.
4. Sauvegarder régulièrement vos données sur un support externe, déconnecté. Ainsi, même si vous êtes victime d’un ransomware, vous n’aurez pas perdu vos données.

 

WannaCry : ce qu’il faut retenir

 

• WannaCry est le nom du ransomware à l’origine de la plus grande cyberattaque de l’histoire d’Internet.

 

• On lui connaît également les nom de WCry, Wannacrypt, WannaCrypto 2.0, Wanna Decrypto et Wanna Decryptor 2.0

 

• L’attaque a touché plus de 150 pays, et mobilisé d’importants services de police et de sécurité, dont le FBI et Europol.

 

• La rançon de 300$, puis 600$, était demandée en Bitcoin et a engendré plus de 4 milliards de dollars de pertes.

 

• Malgré l’ampleur de l’attaque, il était relativement facile de s’en protéger, d’autant que le patch était disponible avant le début des hacks, donc il est important de toujours veiller à la mise à jour de son système informatique.