Cyberattaque : comment un jeune Anglais est devenu un « héros accidentel »

Lundi 15 mai 2017 — Dernier ajout mardi 27 juin 2017

Cyberattaque : comment un jeune Anglais est devenu un « héros accidentel »

LE MONDE | 14.05.2017 à 19h37 • Mis à jour le 14.05.2017 à 23h41 | Par Morgane Tual

Connu sous le pseudonyme de @malwaretechblog, un Britannique de 22 ans, domicilié chez ses « Désormais, je peux ajouter “a stoppé accidentellement une cyberattaque internationale” sur mon CV ». Dans un tweet humoristique publié samedi 13 mai, @malwaretechblog résume à merveille la situation. Cet Anglais de 22 ans a réussi, presque par hasard, à entraver la propagation du logiciel de racket qui s’est diffusé vendredi à grande vitesse, faisant plus de 200 000 victimes réparties dans 150 pays, selon les données d’Europol.

Ce logiciel appelé WanaCrypt0r 2.0 chiffre les données présentes sur l’ordinateur infecté et exige, pour que le propriétaire puisse récupérer son contenu, une rançon d’un montant de 300 dollars. La rapidité inédite de sa diffusion, ainsi que l’importance de certaines organisations touchées – le système de santé britannique NHS, le constructeur automobile Renault ou encore l’opérateur espagnol Telefonica – ont généré une vive inquiétude vendredi. Jusqu’à ce que sa propagation soit brutalement freinée par @malwaretechblog, depuis hissé au rang de « héros accidentel » par la presse britannique.parents, a mis un coup d’arrêt au logiciel de racket qui a fait plus de 200 000 victimes dans 150 pays.

Des milliers de connexions chaque seconde

Le jeune homme, qui travaille pour l’entreprise de sécurité informatique Kryptos Logic, refuse de dévoiler son identité. « Ça n’a pas de sens de rendre publiques des informations personnelles sur moi », explique-t-il au Guardian. « Il est évident que nous luttons contre des types mal intentionnés, et qu’ils ne vont pas être contents. »

S’il tient à protéger son identité, il a toutefois détaillé, sur son blog, la façon dont il avait vécu la folle journée de vendredi et découvert qu’il avait, avec un simple achat de nom de domaine, endigué la propagation du « ransomware » (rançongiciel).

En fin de matinée, il se connecte machinalement à une plateforme d’information en temps réel sur les menaces informatiques. Il y est bien fait état de quelques victimes d’un rançongiciel, « mais rien de significatif », estime alors le chercheur en sécurité informatique, qui part déjeuner. A son retour, c’est l’affolement : en quelques heures, le logiciel s’est propagé à des milliers de machines, le fonctionnement des hôpitaux britanniques est perturbé et de nouvelles victimes se font connaître les unes après les autres.

Rapidement, il réussit à obtenir une copie du ransomware, dont il examine le code source. Il y remarque la présence d’un nom de domaine en « .com » composé d’une quarantaine de caractères sans aucun sens. Celui-ci n’appartient à personne ; il décide de l’acheter pour 10,69 dollars (9,78 euros). Un réflexe, pour ce chercheur en sécurité informatique spécialisé dans les « malwares », les logiciels malveillants. « J’ai enregistré plusieurs milliers de noms de domaines de ce type l’an passé », explique-t-il.

Il ne comprend pas immédiatement quel rôle joue ce nom de domaine dans le fonctionnement du logiciel, il remarque simplement que chaque machine infectée tente automatiquement de s’y connecter. Une aubaine pour @malwaretechblog : désormais propriétaire du nom de domaine, il reçoit ainsi des informations sur le nombre et la provenance géographique de ces connexions, ce qui lui permet de suivre en direct la propagation de ransoware. Des milliers de connexions sont effectuées chaque seconde, mais le rythme finit étrangement par ralentir. Lire la suite.

Revenir en haut