WannaCry : la cyber-attaque la plus importante de l’histoire !

WannaCry : la cyber-attaque la plus importante de l’histoire !

Share Button

Si vous avez manqué cette actualité, sachez que WannaCry est un ransomware, à savoir un type de malware (logiciel malveillant) qui a pour but de chiffrer les données personnelles des victimes, ce qui rend documents, photos, bases de données et autres, illisibles. La seule façon de les déverrouiller, c’est d’utiliser une clef de déchiffrement, que les criminels promettent d’envoyer contre paiement en bitcoin, une monnaie numérique.

 

wannacry

 

WannaCry est un ransomware qui s’est propagé globalement en l’espace de quelques heures en utilisant une vulnérabilité dans un protocole de transmission de données utilisé par Windows (et non pas par mail comme il a été parfois avancé). On estime à environ 300 000 le nombre de machines qui ont été infectées, surtout en Europe et en particulier en Russie. L’identité des créateurs de WannaCry reste encore un débat ouvert, malgré certaines pistes qui pointeraient vers la Corée du Nord.

Le ransomware a subi un essor considérable durant ces deux dernières années car c’est un modèle qui marche très bien. Par conséquent, nous observons de nombreuses variantes qui ont toutes plus ou moins le même comportement, même si la rançon exigée varie. La spécificité de WannaCry, c’est que le ransomware était accompagné d’un vers informatique qui essaye de propager l’infection à l’intérieur des réseaux mais aussi sur l’internet, de façon aléatoire, à la recherche d’ordinateurs vulnérables.

Il y a différentes façons de se protéger contre le ransomware et en particulier contre WannaCry. Tout d’abord, il faut mettre à jour tous les postes informatiques et vérifier que le pare-feu bloque les attaques externes. Par ailleurs, les sauvegardes sont un élément crucial contre le ransomware car en cas d’infection, il est possible de restaurer les données sans avoir à payer la rançon. Finalement, il est nécessaire de disposer d’un logiciel de protection efficace contre cette menace, c’est-à-dire qui est capable de détecter le ransomware par son comportement et non pas seulement par certaines signatures.

Un (ou une) jeune britannique de 22 ans aurait réussi à freiner la propagation du virus, avec une technique un peu originale. La solution a été trouvée un peu par hasard par @malwaretechblog, ce jeune de 22 ans dont on ne connaît pas l’identité. En analysant le code source du ransomware, il a découvert que celui-ci contenait une URL étonnante, composée d’une suite de lettres bizarres.

 

malware

 

Or, une partie du travail quotidien de ce spécialiste est justement l’enregistrement de noms de domaines absurdes (la plupart du temps une suite de lettres et chiffres sans aucun sens) utilisés par les malwares. C’est à un autre spécialiste que l’on doit l’explication : le virus contenait une étape de vérification avec cette URL. Si le nom de domaine n’était pas enregistré, le virus continuait à s’installer et se propager … mais s’il l’était, le virus s’arrêtait net.

@malwaretechblog a donc enregistré au nom de son entreprise le nom de domaine en question, une pratique qu’il fait des milliers de fois par an. Il ne s’attendait pas à ce que ce soit la solution au problème, du moins en partie.

Share Button

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>