Windows 7 à l’origine de la propagation du ransomware WannaCry

Sur le web

Par Elodie le

Initialement pointé du doigt du fait de son ancienneté, Windows XP n’aura finalement joué qu’un rôle minime dans la propagation du ransomware WannaCry. Windows 7 est en effet responsable de 98 % des infections constatées dans le monde. Des Français ont néanmoins conçu une solution pour Windows XP à 7.

Une semaine après l’attaque mondiale stoppée par l’intervention inopinée d’un jeune hacker anglais devenu héros malgré lui, les experts travaillent à déterminer comment Wannacry a pu se répandre aussi rapidement. Les premiers résultats désignent un suspect : Windows 7. D’après les experts de Kaspersky Lab, Windows 7 est le principal système à l’origine de la propagation fulgurante du virus. 98 % des systèmes infectés tournaient sous cette version de l’os de Microsoft, la plus utilisée à travers le monde devant Windows 10.

Windows 7 représente 98% des infections

La version 64 bits de Windows 7 a été la plus touchée, avec 60,35 % de toutes les infections, suivi de Windows 7 (31,72 %) et Windows 7 Home. Windows 2008 R2 Serveur a également été affecté et représente un peu plus de 1 % des attaques.

capture d’écran – Kaspersky Lab

Windows XP de son côté est responsable d’à peine 0.03 % des infections, une paille !

L’ancien OS de Microsoft, jugé obsolète, est désormais lavé de tous soupçons alors que les regards se tournaient vers lui dans les premiers jours de l’attaque. Son ancienneté n’a pas joué en sa faveur : Microsoft a stoppé tout support depuis 2014. Après un premier correctif de sécurité publié en mars dernier, Microsoft assurait avoir patché les vulnérabilités repérées et exploitées par la NSA, dont l’arsenal cybernétique venait d’être diffusé par les Shadow Brokers.

Des Français à l’origine d’une solution contre WannaCry

Par ailleurs, si vous faites partie de centaines de milliers de personnes victimes du ransomware Wannacry (ou Wanacryt0r 2.0 ou Wannacrypt), sachez qu’il existe des solutions pour déchiffrer vos données – seulement si vous n’avez pas rebooté votre ordinateur entre temps.

Ces solutions ont été conçues par des experts français qui ont travaillé de concert, mais à distance : Matthieu Suiche, hacker autodidacte mondialement connu, Benjamin Delpy, aka « gentilkiwi », directeur de Projets Sécurité à la Banque de France, dont la solution se base sur OpenSSL et sur celle, plus ancienne, d’Alain Guinet, baptisée « WannaKey ».

Ce programme, conçu par cet expert en sécurité informatique travaillant pour la start-up française Quarlslab, repère la clé RSA de WannaCry sur les ordinateurs infectés. Wannakey, disponible sur Github, ne cherche pas la clé réelle, mais les nombres premiers en mémoire pour recalculer la clé elle-même. Le programme « Wanakiwi », créé par Delpy, vient ensuite récupérer les données cryptées sur Windows XP, 7 et version antérieure.

Disponible sur Windows XP à 7

« WanaKiwi recrée également les fichiers .dky attendus du ransomware par les attaquants, ce qui le rend compatible avec le ransomware lui-même. Cela empêche également WannaCry de chiffrer d’autres fichiers », a précisé le jeune hacker sur son blog.

Toutefois, cette solution fonctionne uniquement si les ordinateurs n’ont pas été redémarrés après l’infection. « Si on a redémarré son ordinateur, la suite de nombres premiers que WannaKiwi doit trouver aura sans doute disparu de la mémoire vive », indique Matthieu Suiche au Parisien.

Les trois experts, qui se surnomment avec humour #FrenchMafia insistent sur l’urgence à appliquer cette solution, la « mémoire se vide automatiquement au bout de sept jours ».

Le Centre européen de lutte contre la cybercriminalité (Ec3) d’Europol a testé et approuvé la solution.

Pour rappel, le ransomware (ou rançongiciel) WannaCry chiffre le contenu d’un ordinateur infecté et le rend inaccessible à son propriétaire. Celui-ci doit alors s’acquitter d’une rançon de 300 dollars en bitcoins pour le déverrouiller.

Plus de 200 000 victimes sont à dénombrer dans 150 pays. De grandes entreprises et des administrations ont été touchées par l’attaque, dont Renault ou le système de santé britannique, le NHS.

Source: Source