En 2023, une étude menée par Cybersecurity Ventures a révélé qu’une cyberattaque survient toutes les 39 secondes, soulignant l’ampleur et la fréquence croissantes des menaces numériques. Parmi les nombreuses cyberattaques qui ont secoué le monde ces dernières années, l’attaque Wannacry, lancée le 12 Mai 2017, se distingue comme l’une des plus dévastatrices de l’histoire de la cybersécurité, une attaque que le monde n’avait jusqu’alors jamais connue.
Ce ransomware a non seulement causé des perturbations massives à l’échelle mondiale, mais il a également exposé les vulnérabilités alarmantes dans les systèmes informatiques à travers le globe. Transfergratis vous amène explorer en profondeurs les détails de cette attaque emblématique.
I - Qu’est-ce que WannaCry ?
WannaCry est un ransomware, un type de logiciel informatique malveillant, conçu pour prendre en otage les données d’un ordinateur et exiger une rançon en échange de leur déchiffrement. Ce logiciel malveillant utilisé portait plusieurs noms et a notamment été appelé Wana Decrypt0r 2.0, WannaCrypt, WCRY ou Wcrypt. À ce jour, le nom le plus connu de cette cyberattaque est WannaCry.
La « porte d’entrée » utilisée par WannaCry était une faille de sécurité de Windows nommée MS17-010. Cette faille a été exploitée au moyen de l’exploit EternalBlue, une technologie développée et utilisée par la National security Agency ( NSA ) aux USA, avant d’être volée et divulguée par un groupe de hackers connu sous le nom des Shadow Brokers. Microsoft a appris le problème et tenté de le résoudre dès mars 2017 à l’aide d’un correctif de sécurité, ce correctif n’étant pas compatible avec tous les systèmes, certains utilisateurs n’ont donc pas fait de mise à jour de leur système et WannaCry, le successeur d’EternalBlue, a librement ainsi pu se propager deux mois plus tard.
Plus de 230 000 ordinateurs dans près de 150 pays ont été attaqués et leurs données ou l’intégralité des systèmes d’exploitation verrouillés. Les utilisateurs devaient donc payer une rançon, l’équivalent de 300 dollars américains en bitcoins pour déverrouiller les données concernées.
II - Le déroulement de l’attaque
L’attaque WannaCry a commencé par un envoi massif de ransomware via des courriels de phishing ou des exploitations automatiques de la vulnérabilité EternalBlue.
EternalBlue a été découverte par l‘Agence de Sécurité Nationale des États-Unis (NSA) et fait partie d’une série d’outils de cybersurveillance que la NSA utilisait pour pénétrer les systèmes informatiques étrangers. En mars 2017, ces outils ont été divulgués par les Shadow Brokers, un groupe de hackers. Parmi ces outils, EternalBlue s’est révélée être particulièrement puissante et dangereuse.
EternalBlue cible une vulnérabilité dans le protocole SMB (Server Message Block) de Microsoft Windows. SMB est un protocole réseau utilisé pour partager des fichiers, des imprimantes et d’autres ressources entre les ordinateurs dans un réseau. La vulnérabilité, identifiée sous le nom de CVE-2017-0144, réside dans la manière dont les systèmes Windows traitent les requêtes SMB malveillantes.
Concrètement, EternalBlue permet à un attaquant de provoquer un débordement de mémoire tampon (buffer overflow) en envoyant des requêtes spécialement conçues à un ordinateur vulnérable. Ce débordement peut permettre à l’attaquant d’exécuter du code arbitraire à distance, avec des privilèges élevés, et donc de prendre le contrôle complet du système ciblé. Le ransomware Wannacry a ainsi utilisé EternalBlue pour se propager rapidement à travers les réseaux informatiques et se répandre de manière exponentielle, exploitant les systèmes vulnérables sans nécessiter d’interaction de la part des utilisateurs.
Une fois qu’un ordinateur était infecté, le ransomware chiffrait les fichiers de l’utilisateur et affichait une demande de rançon en bitcoin, menaçant de supprimer les fichiers si la rançon n’était pas payée dans les 72 heures, puis cherchait d’autres machines sur le réseau local ou via Internet pour propager l’infection et continuer les prises en otages des fichiers.
III - L'impact Global de Wannacry
Il est difficile de chiffrer précisément les dommages causés par WannaCry. Les experts avancent la somme de plusieurs milliards de dollars américains car l’impact a été dévastateur. Parmi les victimes figuraient des hôpitaux, des entreprises, des institutions gouvernementales et des particuliers.
Par exemple, le NHS (système de santé britannique) a été tellement affecté que de nombreuses opérations importantes ont dû être reportées, les dossiers médicaux électroniques des patients n’étaient plus accessibles et les ambulances recevaient des informations erronées. Plus de 30% de la totalité des hôpitaux du NHS ont temporairement été attaqués par WannaCry.
En Allemagne, c’est la Deutsche Bahn qui a principalement été affectée par WannaCry. Les tableaux de signalisation et la surveillance vidéo sont ainsi tombés en panne dans de nombreuses gares. Des problèmes similaires ont été constatés au sein de la société ferroviaire russe.
En Espagne, WannaCry a entraîné des restrictions sur le réseau téléphonique de Telefónica. Parmi les autres entreprises durement touchées figurent entre autres FedEx, Honda et Renault. En outre, le ministère des Affaires étrangères roumain a été attaqué, tout comme des universités de Montréal et Thessalonique, ainsi que le tribunal de São Paulo.
IV - Réponse et Conséquences
L’attaque massive de 2017 n’a duré que quelques jours. Alors qu’il examinait WannaCry, l’expert britannique en cybersécurité Marcus Hutchins a découvert une sorte de bouton d’arrêt d’urgence qui avait été dissimulé, volontairement ou par erreur dans le code du logiciel malveillant. Le chercheur a ainsi pu enregistrer un domaine qui arrêtait WannaCry, ce qui a permis de stopper sa propagation. Cette découverte a été cruciale pour contenir l’attaque et limiter les dégâts supplémentaires.
En réponse à l’incident, des mesures renforcées ont été mises en place dans de nombreux secteurs pour améliorer la cybersécurité. Les organisations ont pris conscience de l’importance de maintenir leurs systèmes à jour et d’adopter des pratiques de sécurité plus rigoureuses. La divulgation de la vulnérabilité EternalBlue a également conduit à un débat mondial sur la gestion des outils de cyberespionnage et la responsabilité des agences de sécurité.
Quelques conseils pour se protéger des ransomwares comme Wannacry
Bien que les ransomwares évoluent en permanence, il existe des tactiques efficaces grâce auxquelles vous pouvez protéger votre système des attaques de WannaCry ou de ses successeurs.
1. Faites la mise à Jour Régulière des Systèmes : tenez toujours votre système à jour. Vous évitez ainsi non seulement que votre ordinateur ne soit ralenti à un moment donné, mais aussi vous fermez également la majorité des portes d’entrée de WannaCry et d’autres logiciels malveillants. Lors de la cyberattaque, la plupart des victimes utilisaient des versions obsolètes de Windows, ce qui a facilité la propagation du ransomware.
2. Faites des Sauvegardes : exécuter des sauvegardes régulières n’empêche aucune attaque par ransomware, mais si vous en êtes victime, les dommages sont alors considérablement réduits. En effet, en cas de verrouillage, vous pouvez réinstaller le système et accéder à une version précédente. Il existe également des logiciels spécifiques qui exécutent automatiquement et régulièrement des sauvegardes.
3. Utilisez des logiciels de sécurité : Protégez votre système à l’aide d’un pare-feu et utilisez impérativement un logiciel antivirus adapté, ainsi les ransomwares seront détectés de manière précoce.
4. Contrôlez les sources : n’ouvrez jamais un lien qui vous semble suspect ou alors un lien dont vous ne connaissez pas l’expéditeur. Pour les clés USB et autres supports externes de stockages de données, vous devez également faire preuve de prudence.
L’attaque WannaCry a marqué un tournant dans l’histoire des cybermenaces, démontrant l’ampleur et la rapidité avec lesquelles les logiciels malveillants peuvent se propager et causer des dégâts. En exploitant une vulnérabilité critique des systèmes Windows, WannaCry a paralysé des milliers d’organisations à travers le monde, des hôpitaux aux entreprises.
Bien qu’une solution ait été trouvée, le danger n’est pourtant pas encore totalement écarté car des versions récentes de WannaCry circulent encore et sont envoyées sans le bouton d’arrêt d’urgence, ce qui les rend redoutables.
Les conséquences de cette attaque ont été catastrophiques, mettant en lumière l’importance de la cybersécurité et la nécessité pour les entreprises et les particuliers de rester vigilants et informés.
Pour approfondir votre compréhension des enjeux de la cybersécurité et découvrir des stratégies pour protéger vos systèmes contre de telles menaces, n’hésitez pas à consulter notre blog. Nous y partageons des analyses, des conseils pratiques et des ressources pour vous aider à renforcer votre défense numérique.
Sources :