WannaCry : le code du rançongiciel livre ses premiers secrets

Mercredi 17 mai 2017 — Dernier ajout mardi 27 juin 2017

WannaCry : le code du rançongiciel livre ses premiers secrets

Après la propagation éclair du logiciel de racket, des experts ont commencé à analyser le code informatique qui a touché plusieurs dizaines de milliers d’ordinateurs.

LE MONDE | 17.05.2017 à 06h45 | Par Martin Untersinger

Après l’épidémie, l’enquête. Quelques jours après la propagation éclair du logiciel de racket WannaCry, des experts des cinq continents ont commencé à analyser le code informatique qui a touché plusieurs dizaines de milliers d’ordinateurs dans le monde.

Ce rançongiciel – qui chiffre les données présentes sur un ordinateur et les libère en échange du versement d’une somme d’argent – a été repéré pour la première fois le 10 février par un chercheur en sécurité informatique. Il n’était alors qu’un rançongiciel parmi des centaines d’autres et son incapacité à se propager automatiquement à d’autres ordinateurs limitait considérablement ses dégâts. L’adresse à laquelle il demandait à ses victimes de verser de l’argent en Bitcoin – la célèbre cryptomonnaie – n’a même reçu aucune transaction.

Mais cette première version est loin d’être anodine. Selon plusieurs experts, une petite portion de son code est identique à celui d’un outil utilisé dans le passé par le groupe Lazarus, les pirates responsables du « cybercasse » qui a coûté 81 millions de dollars, en février 2016, à la banque centrale du Bangladesh, mais aussi de nombreuses attaques contre des entreprises sud-coréennes et du piratage destructeur de Sony Pictures. L’ancien président américain Barack Obama avait formellement accusé la Corée du Nord d’être derrière celle qui a frappé le grand studio d’Hollywood.

[…] Par ailleurs, en matière d’attaques informatiques, il est facile de maquiller ses traces pour désorienter les enquêteurs. Kaspersky considère cependant que cette théorie du « false flag », « quoique possible, est improbable », estimant que cette ressemblance « est à ce jour l’indice le plus important sur les origines [du rançongiciel] ».

Autrement dit, les parties communes aux deux logiciels sont trop rares pour être le fruit du hasard. « Désormais, des recherches supplémentaires doivent être menées sur les anciennes versions de WannaCry. C’est la clé pour résoudre certains des mystères qui entourent cette attaque », ajoute l’entreprise basée à Moscou. Même prudence du côté de Symantec, qui annonce des « investigations approfondies » et Prudence

Les attaques informatiques d’origine étatique ne sont généralement pas motivées par l’appât du gain. Lazarus avait cependant fait exception à la règle en s’en prenant au système de transaction interbancaire Swift pour faire les poches de la banque centrale bangladaise.pour qui « ces découvertes n’indiquent pas de lien définitif entre Lazarus et WannaCry ».

Mais si l’implication de Lazarus dans WannaCry était confirmée, cela serait le premier exemple d’un rançongiciel d’origine étatique. Si l’implication d’un Etat se confirme, les dégâts causés par le rançongiciel, notamment dans les hôpitaux britanniques, poseront surtout une question diplomatique : la propagation automatique d’un virus sera-t-elle considérée comme une véritable offensive ? Si oui, comment réagiront les Etats concernés ? Lire la suite.

Revenir en haut