![\"Demande](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2022\/09\/06093501\/wannacry-hsitory-lessons-ransom-note.jpg\")
Demande de ran\u00e7on de WannaCry qui appara\u00eet sur l\u2019ordinateur infect\u00e9. Source<\/a><\/p><\/div>\n \u00a0<\/p>\n Tout de suite apr\u00e8s, les victimes d\u00e9couvraient que tous leurs documents avaient \u00e9t\u00e9 chiffr\u00e9s, et que l\u2019extension .wnry avait \u00e9t\u00e9 ajout\u00e9e \u00e0 toutes les extensions normales de fichiers comme .doc ou .mp3. Si l\u2019utilisateur fermait la fen\u00eatre sans avoir lu le message, le programme malveillant modifiait le fond d\u2019\u00e9cran du bureau et affichait le message suivant :<\/p>\n Un avertissement comme fond d\u2019\u00e9cran. Source<\/a>.<\/p><\/div>\n Pour d\u00e9chiffrer les fichiers, le programme demandait d\u2019effectuer un virement de 300 dollars en Bitcoin vers le portefeuille des cybercriminels. Ce montant est ensuite mont\u00e9 \u00e0 600 dollars. En un jour, le ver s\u2019est rapidement r\u00e9pandu sur Internet et a infect\u00e9 plus de 200 000 syst\u00e8mes dans le monde entier, touchant les ordinateurs des particuliers et les r\u00e9seaux des entreprises\u00a0: h\u00f4pitaux, soci\u00e9t\u00e9s de transport, services bancaires et op\u00e9rateurs t\u00e9l\u00e9phoniques. Le g\u00e9ant ta\u00efwanais de la puce \u00e9lectronique, TSMC, a d\u00fb suspendre sa production \u00e0 cause d\u2019une infection de masse des appareils de l\u2019entreprise.<\/p>\n C\u2019est gr\u00e2ce aux vuln\u00e9rabilit\u00e9s du protocole SMB (Server Message Block<\/em>) de Windows que WannaCry a pu se propager si rapidement. Ce protocole permet le partage de fichiers sur un r\u00e9seau local. Si le patch n\u2019avait pas \u00e9t\u00e9 install\u00e9 sur l\u2019ordinateur, les vuln\u00e9rabilit\u00e9s permettaient l\u2019ex\u00e9cution d\u2019un code arbitraire en envoyant une demande via le protocole SMBv1. Il s\u2019agit d\u2019une vieille version de SMB utilis\u00e9e depuis le d\u00e9but des ann\u00e9es 90. Depuis 2006, les versions par d\u00e9faut du protocole de Windows \u00e9taient SMBv2 ou ult\u00e9rieures, mais l\u2019assistance de l\u2019ancien protocole existait encore pour des raisons de compatibilit\u00e9 pour les ordinateurs qui ex\u00e9cutaient l\u2019ancien logiciel.<\/p>\n Lorsque le probl\u00e8me a \u00e9t\u00e9 d\u00e9tect\u00e9 et que des mises \u00e0 jour ont \u00e9t\u00e9 publi\u00e9es<\/a> en mars 2017 (environ deux mois avant l\u2019apparition de WannaCry), les vuln\u00e9rabilit\u00e9s SMBv1 affectaient toutes les versions non corrig\u00e9es du syst\u00e8me d\u2019exploitation, de Vista au tout dernier Windows 10. Les anciennes versions de Windows XP et Windows 8 \u00e9taient aussi menac\u00e9es. Microsoft a publi\u00e9 un patch pour Windows XP, m\u00eame si l\u2019entreprise avait officiellement arr\u00eat\u00e9 son assistance en 2014. L\u2019exploit qui profitait des vuln\u00e9rabilit\u00e9s de SMBv1 \u00e9tait connu comme EternalBlue, pour des raisons qui m\u00e9ritent que l\u2019on en parle \u00e0 un autre moment.<\/p>\n Vous devriez d\u2019abord conna\u00eetre un autre nom de code\u00a0: DoublePulsar<\/a>. Il s\u2019agit du nom du code malveillant utilis\u00e9 pour cr\u00e9er une porte d\u00e9rob\u00e9e dans le syst\u00e8me pris pour cible. L\u2019exploit EternalBlue et la porte d\u00e9rob\u00e9e DoublePulsar ont \u00e9t\u00e9 rendus publics<\/a> par le groupe anonyme ShadowBrokers en mars et avril 2017, respectivement. Avec d\u2019autres outils malveillants, ils avaient soi-disant \u00e9t\u00e9 d\u00e9rob\u00e9s \u00e0 une division de la National Security Agency<\/em> des \u00c9tats-Unis. Le ver WannaCry exploitait ces deux composants\u00a0: il a d\u2019abord acquis la capacit\u00e9 d\u2019ex\u00e9cuter un code malveillant gr\u00e2ce \u00e0 l\u2019exploit EternalBlue, puis il s\u2019est servi d\u2019une version personnalis\u00e9e de DoublePulsar pour lancer la charge malveillante afin de chiffrer les fichiers et d\u2019afficher la demande de ran\u00e7on.<\/p>\n En plus de chiffrer les fichiers, WannaCry communiquait avec le serveur C2 des cybercriminels gr\u00e2ce au r\u00e9seau anonyme Tor, et se propageait en envoyant des demandes malveillantes \u00e0 des adresses IP choisies au hasard. C\u2019est ce qui a permis \u00e0 ce virus d\u2019avoir un taux de distribution particuli\u00e8rement \u00e9lev\u00e9, avec des dizaines de milliers de syst\u00e8mes infect\u00e9s chaque heure\u00a0!<\/p>\n Ce m\u00eame jour, le 12 mai, le blogueur jusqu\u2019alors inconnu MalwareTech a minutieusement \u00e9tudi\u00e9 le code de WannaCry. Il a d\u00e9couvert l\u2019adresse <very_long_nonsensical_set_of_characters>.com dans le code. Le nom du domaine n\u2019\u00e9tait pas enregistr\u00e9, donc MalwareTech l\u2019a inscrit \u00e0 son nom, en partant du principe que les ordinateurs infect\u00e9s utiliseraient cette adresse pour communiquer avec les serveurs C2. Au lieu de cela, il a interrompu sans le vouloir l\u2019\u00e9pid\u00e9mie WannaCry.<\/p>\n M\u00eame si le 12 mai au soir<\/a>, apr\u00e8s l\u2019enregistrement du domaine, WannaCry infectait encore des ordinateurs, il ne chiffrait plus les donn\u00e9es. En r\u00e9alit\u00e9, le programme malveillant acc\u00e9dait au domaine et, s\u2019il n\u2019existait pas, chiffrait les fichiers. \u00c9tant donn\u00e9 que le domaine \u00e9tait disponible, pour une quelconque raison, toutes les parties du programme malveillant ne faisaient plus d\u2019efforts. Pourquoi les cr\u00e9ateurs ont-ils choisi un syst\u00e8me si simple pour tuer le ransomware\u00a0? Selon MalwareTech, il s\u2019agissait d\u2019une tentative rat\u00e9e qui cherchait \u00e0 leurrer l\u2019analyse automatique de la sandbox<\/em> (bac \u00e0 sable).<\/p>\n L\u2019ex\u00e9cution en mode bac \u00e0 sable fonctionne de cette fa\u00e7on\u00a0: un programme malveillant est ex\u00e9cut\u00e9 dans un environnement virtuel isol\u00e9 afin d\u2019analyser en temps r\u00e9el son comportement. Cette proc\u00e9dure courante est g\u00e9n\u00e9ralement faite manuellement par des analystes de virus ou automatiquement. L\u2019environnement virtuel est con\u00e7u de fa\u00e7on \u00e0 permettre au programme malveillant de s\u2019ex\u00e9cuter enti\u00e8rement et de r\u00e9v\u00e9ler tous ses secrets aux chercheurs. Si le programme malveillant demande un fichier, le bac \u00e0 sable fait croire que le fichier existe. S\u2019il acc\u00e8de \u00e0 un site en ligne, l\u2019environnement virtuel peut simuler une r\u00e9ponse. Peut-\u00eatre que les auteurs de WannaCry pensaient qu\u2019ils pourraient se montrer plus malins que l\u2019analyse du bac \u00e0 sable. Si le ver acc\u00e9dait \u00e0 un domaine qui n\u2019existait pas mais obtenait une r\u00e9ponse, alors la victime n\u2019\u00e9tait pas r\u00e9elle et l\u2019activit\u00e9 malveillante devait \u00eatre cach\u00e9e.<\/p>\n Ils n\u2019avaient probablement pas pr\u00e9vu que le code du ver serait d\u00e9sactiv\u00e9 en trois heures seulement, et que le nom de son domaine \u00a0\u00bb\u00a0secret\u00a0\u00a0\u00bb serait d\u00e9couvert et enregistr\u00e9.<\/p>\n MalwareTech avait de bonnes raisons de ne pas r\u00e9v\u00e9ler sa v\u00e9ritable identit\u00e9. Son nom est Marcus Hutchins. Il n\u2019avait que 23 ans lorsque WannaCry est apparu. Alors qu\u2019il \u00e9tait encore au lyc\u00e9e, il a commenc\u00e9 \u00e0 fr\u00e9quenter les mauvaises personnes, comme on dit, et \u00e0 passer du temps sur des forums impliqu\u00e9s dans la cybercriminalit\u00e9. Un de ses p\u00e9ch\u00e9s a \u00e9t\u00e9 l\u2019\u00e9criture d\u2019un programme qui volait les mots de passe du navigateur. Il a aussi cr\u00e9\u00e9 un programme pour infecter les utilisateurs via les sites de torrent et s\u2019en est servi pour construire un vaste botnet de 8000 bots.<\/p>\n Au d\u00e9but des ann\u00e9es 2000, un acteur plus important l\u2019a remarqu\u00e9 et l\u2019a invit\u00e9 \u00e0 \u00e9crire une partie du programme malveillant Kronos. Pour son travail, Marcus recevait une commission sur chaque vente sur le march\u00e9 gris\u00a0: d\u2019autres cybercriminels achetaient le programme pour lancer leurs propres attaques. Hutchins a r\u00e9v\u00e9l\u00e9 qu\u2019il avait donn\u00e9 son vrai nom et l\u2019adresse de son domicile au Royaume-Uni \u00e0 des complices au moins \u00e0 deux reprises. Les forces de l\u2019ordre am\u00e9ricaines ont re\u00e7u ces informations.<\/p>\n L\u2019homme qui avait sauv\u00e9 Internet n\u2019\u00e9tait plus anonyme. Deux jours plus tard, les journalistes frappaient \u00e0 sa porte\u00a0: la fille d\u2019un des journalistes \u00e9tait all\u00e9e \u00e0 la m\u00eame \u00e9cole que Marcus et savait qu\u2019il utilisait le pseudonyme MalwareTech. Dans un premier temps, il a essay\u00e9 de ne pas parler \u00e0 la presse, mais a accept\u00e9 de donner une interview \u00e0 l\u2019agence Associated Press<\/em>. En ao\u00fbt 2017, d\u00e9sormais en tant qu\u2019invit\u00e9 d\u2019honneur, il participait \u00e0 la c\u00e9l\u00e8bre conf\u00e9rence sur la cybercriminalit\u00e9 DEF CON organis\u00e9e \u00e0 Las Vegas.<\/p>\n C\u2019est l\u00e0 qu\u2019il a \u00e9t\u00e9 interpell\u00e9. Apr\u00e8s avoir pass\u00e9 plusieurs mois en d\u00e9tention \u00e0 domicile et apr\u00e8s avoir partiellement reconnu les accusations li\u00e9es \u00e0 Kronos, Hutchins s\u2019en est sorti avec une condamnation avec sursis. Lors d\u2019un entretien<\/a> avec le magazine Wired<\/em>, il a expliqu\u00e9 que son pass\u00e9 criminel \u00e9tait une regrettable erreur\u00a0: il ne l\u2019avait pas vraiment fait pour l\u2019argent. C\u2019\u00e9tait plut\u00f4t pour montrer de quoi il \u00e9tait capable et pour obtenir la reconnaissance de cette communaut\u00e9 ill\u00e9gale. Au moment de WannaCry, cela faisait deux ans qu\u2019il n\u2019\u00e9tait plus en contact avec les cybercriminels et son blog MalwareTech \u00e9tait lu et admir\u00e9 par des experts.<\/p>\n Nous avons r\u00e9cemment r\u00e9dig\u00e9<\/a> un article sur le virus ILOVEYOU, qui a provoqu\u00e9 une \u00e9pid\u00e9mie beaucoup plus importante au d\u00e9but des ann\u00e9es 2000. Il y avait beaucoup de points communs avec WannaCry\u00a0: ces deux vers se propageaient gr\u00e2ce \u00e0 une vuln\u00e9rabilit\u00e9 Windows qui avait pourtant \u00e9t\u00e9 corrig\u00e9e. La mise \u00e0 jour n\u2019avait pas \u00e9t\u00e9 install\u00e9e sur tous les ordinateurs au moment de l\u2019infection. Ainsi, des centaines de milliers d\u2019appareils \u00e9taient touch\u00e9s partout dans le monde, avec des d\u00e9g\u00e2ts qui s\u2019\u00e9levaient \u00e0 des millions de dollars pour les entreprises et la perte des donn\u00e9es utilisateur.<\/p>\n Il y avait aussi des diff\u00e9rences. Les cr\u00e9ateurs de WannaCry, soi-disant un groupe en Cor\u00e9e du Nord, avaient utilis\u00e9 des outils de piratage standards d\u00e9j\u00e0 disponibles sur le domaine public. ILOVEYOU ne supprimait que quelques fichiers alors que WannaCry demandait une ran\u00e7on aux utilisateurs pour qu\u2019ils puissent r\u00e9cup\u00e9rer les documents chiffr\u00e9s. Heureusement, les auteurs de WannaCry ont \u00e9t\u00e9 trop aimables en int\u00e9grant un interrupteur d\u2019urgence qui fonctionnait contre eux. L\u2019histoire de cette \u00e9pid\u00e9mie refl\u00e8te aussi le g\u00e9nie des chasseurs de programmes malveillants qui arrivent \u00e0 s\u2019approprier l\u2019\u0153uvre d\u2019une autre personne, \u00e0 l\u2019analyser en un rien de temps et \u00e0 d\u00e9velopper un m\u00e9canisme de d\u00e9fense.<\/p>\n Des dizaines d\u2019entreprises ont \u00e9tudi\u00e9 l\u2019\u00e9pid\u00e9mie WannaCry et cet indicent a attir\u00e9 l\u2019attention des m\u00e9dias, ce qui est une exception \u00e0 la r\u00e8gle. Il est peu probable que l\u2019attaque d\u2019un ransomware contre une entreprise fasse la une de nos jours. En r\u00e9alit\u00e9, c\u2019est tout le contraire puisque vous serez seul face \u00e0 votre bourreau. Ainsi, il est crucial d\u2019impliquer des experts<\/a> dans les op\u00e9rations de contr\u00f4le des d\u00e9g\u00e2ts et de ne pas c\u00e9der au chantage. Comme l\u2019histoire de WannaCry l\u2019a montr\u00e9, m\u00eame une attaque sophistiqu\u00e9e et efficace peut avoir un talon d\u2019Achille.<\/p>\n\n","protected":false},"excerpt":{"rendered":" L\u2019\u00e9volution de la s\u00e9curit\u00e9 : l\u2019\u00e9pid\u00e9mie d\u2019un ransomware qui a eu une existence courte mais un impact important en 2017.<\/p>\n","protected":false},"author":665,"featured_media":19344,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,3151],"tags":[4303,4310,1070,353,2184],"class_list":{"0":"post-19342","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-chronique","11":"tag-crypto-ransomware","12":"tag-extorsion","13":"tag-ransomware","14":"tag-wannacry"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/wannacry-history-lessons\/19342\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/wannacry-history-lessons\/24498\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/wannacry-history-lessons\/19964\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/wannacry-history-lessons\/26942\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/wannacry-history-lessons\/24858\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/wannacry-history-lessons\/27547\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/wannacry-history-lessons\/10960\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/wannacry-history-lessons\/45234\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/wannacry-history-lessons\/19960\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/wannacry-history-lessons\/29192\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/wannacry-history-lessons\/32662\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/wannacry-history-lessons\/30903\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/wannacry-history-lessons\/30611\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/chronique\/","name":"Chronique"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19342","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=19342"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19342\/revisions"}],"predecessor-version":[{"id":19345,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/19342\/revisions\/19345"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/19344"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=19342"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=19342"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=19342"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}![\"Un](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/93\/2022\/09\/06093908\/wannacry-hsitory-lessons-wallpaper-1.jpg\")
Comment est-ce arriv\u00e9 ?<\/h2>\n
Un interrupteur d\u2019urgence<\/h2>\n
MalwareTech : le cybercriminel qui a sauv\u00e9 Internet<\/h2>\n
\u00c9tait-ce la derni\u00e8re \u00e9pid\u00e9mie ?<\/h2>\n