La NSA est-elle responsable du ransomware WannaCry ?

Sur le web

Par Elodie le

Depuis la propagation fulgurante de WannaCry et ses conséquences visibles dans quelque 150 pays, les regards se tournent vers la NSA, coupable de débusquer des failles zero day et de ne pas en informer les firmes concernées afin de poursuivre ses activités d’espionnage et de surveillance.

capture d’écran – Canal +

Microsoft n’a pas tardé à dégainer : dans un billet publié ce weekend, Brad Smith, président et directeur juridique de Microsoft, pointe la responsabilité du gouvernement américain dans le désastre WannaCry.

Dans un premier temps, Microsoft revient sur sa propre responsabilité, la faille ayant été découverte sur ses systèmes. La firme explique les efforts mis en œuvre pour corriger au mieux cette vulnérabilité avec les patchs successifs.

Une responsabilité partagée

Elle n’en oublie pas pour autant de renvoyer la balle aux utilisateurs qui n’appliqueraient pas les correctifs apportés et rendraient du même coup leur propre ordinateur vulnérable à la moindre attaque. Pour la firme, la cybersécurité est désormais une « responsabilité partagée » entre les entreprises et les clients.

Malgré un premier correctif apporté le 14 mars, un mois avant la diffusion de l’arsenal de la NSA par les Shadow Brokers, et deux mois avant l’attaque par ransomware, quelque 200 000 ordinateurs ont pu être infectés.

Pour Microsoft, certaines leçons doivent être tirées pour éviter ce type d’attaques à l’avenir :« Le stockage de vulnérabilités par les gouvernements est un problème », estime Brad Smith qui évoque les vulnérabilités conservées par la CIA et divulguées par Wikileaks sous le titre Vault 7.

Une nouvelle convention de Genève numérique

« À plusieurs reprises des failles dans les mains de gouvernements ont été publiées, causant de gros dégâts ». Pour lui, un scénario équivalent avec des armes classiques verrait l’armée des États-Unis se faire subtiliser des missiles Tomahawk.

WannaCry « est un lien troublant entre les deux plus grandes menaces pour la cybersécurité dans le monde à l’heure actuelle : le crime organisé et les actions des États », tance-t-il.

Brad Smith réclame une nouvelle « Convention de Genève numérique » qui protégerait tout autant les gouvernements et les citoyens. Microsoft demande également que les gouvernements communiquent aux entreprises les failles qu’ils auraient repérées sur leur système. Cette attaque mondiale par ransomware doit servir de « réveil ».

Snowden entre en scène

Ce weekend, c’est l’ancien analyste de la NSA, Edward Snowden qui tançait l’agence. Pour le lanceur d’alerte, « si la NSA avait discrètement fait part de la brèche utilisée pour l’attaque des hôpitaux britanniques lorsqu’elle l’a trouvée, et non pas lorsqu’elle l’a perdue, tout ceci ne serait peut-être pas arrivé ».

Et Snowden de se demander : « Si la NSA fabrique une arme pour attaquer Windows XP – que Microsoft refuse de patcher – et qu’elle tombe entre des mains ennemies, la NSA ne devrait-elle pas concevoir le patch ?

L’arsenal cybernétique de la NSA dévoilé par Shadow Brokers exploite des failles zero day découvertes sur le système d’exploitation Windows (Microsoft), et permet d’infecter les ordinateurs afin d’en prendre le contrôle. L’agence de sécurité nationale a en effet repéré des failles 0day dans l’OS de Microsoft, des backdoors bien utiles pour ses activités de surveillance électronique effectuées sous le nom de code « EternalBlue ». Comme à l’accoutumée, elle n’a pas informé la compagnie des faiblesses repérées dans ses dispositifs.

Des correctifs non appliqués

En mars dernier, Microsoft publiait un correctif de sécurité (MS17-010) pour toutes les versions de Windows concernées (et pas seulement XP). Le mois suivant, en marge de la diffusion de ces outils, Redmond a donc assuré avoir apporté des correctifs sur les vulnérabilités repérées. Toutefois, les événements des derniers jours prouvent que cela n’a pas été suffisant. Des systèmes non patchés subsistent encore (certaines entreprises doivent tester les patch pour s’assurer de leur compatibilité avec leur réseau) et Microsoft ne met plus à jour certaines versions de son OS jugées obsolètes, dont XP depuis 2014.

Du pain béni pour les hackers qui n’avaient plus qu’à collecter les informations nécessaires pour concevoir le rancongiciel WannaCry.
Peu après la propagation fulgurante de WannaCry, Microsoft n’a pourtant eu d’autres choix que de diffuser un patch de sécurité pour Windows XP mais également pour Windows Server 2003. Il est donc nécessaire, si ce n’est urgent, d’effectuer les mises à jour de sécurité requises par votre OS et faire de même pour votre antivirus. Si votre ordinateur est infecté, débranchez-le : le malware scanne également l’infrastructure réseau depuis le poste où il se trouve pour se propager ensuite aux autres machines.

Responsable, mais pas coupable ?

Pointer du doigt la NSA, c’est également pointer du doigt ses homologues à travers la planète. Il serait bien naïf de croire que les autres agences de renseignement se montrent plus vertueuses.

Ces dernières consentiront-elles à livrer leur trouvaille alors même que la sécurité nationale et la lutte contre le terrorisme sont devenues le nouveau cheval de bataille des États nation ? Rien n’est moins sur, d’autant qu’elles se livrent déjà bataille entre elles pour collecter les informations susceptibles d’avantager leur propre gouvernement.

Mardi 16 mai, les experts en sécurité informatique de Kaspersky Lab, ont pointé un lien potentiel avec la Corée du Nord. La firme a repéré des similitudes entre un code utilisé dans une version antérieure du ransomware WannaCry (ou wanacrypt0r 2.0) et dans ceux utilisés par le groupe Lazarus. Un groupe lié au hack de Sony Pictures en 2014 et à la Corée du Nord.

Mais ce code aurait tout aussi bien pu être récupéré par les auteurs du ransomware de la même manière qu’avec Eternal Blue du côté de la NSA.

Le CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) a diffusé un bulletin d’alerte dans lequel il liste les ordinateurs vulnérables. Sont affectés :
• les systèmes d’exploitation Windows vulnérables et en réseau maintenus par l’éditeur sur lesquels le correctif MS17-010 n’aurait pas été installé ;
• les systèmes d’exploitation Windows vulnérables obsolètes et en réseau (Windows XP, Windows Server 2003, Windows 8, Windows Vista, Windows Server 2008, WES09 et POSReady 2009) sur lesquels le correctif KB4012598 n’aurait pas été installé ;
• tous les systèmes d’exploitation Windows sur lesquels un utilisateur ouvrirait la pièce jointe malveillante.