Il faudrait arrêter de parler de «cyberattaque», terme fourre-tout ne permettant pas de prendre la mesure du problème, tout en laissant entendre que le ou les auteurs de WannaCry («tu veux pleurer», en VF) aurait lancé une «attaque» visant telles ou telles cibles. En l'espèce, WannaCry est un «rançongiciel» («ransomware», en VO) qui chiffre les données des ordinateurs qu'il a infectés, et demande une rançon en échange de la clé susceptible de permettre à l'utilisateur de l'utiliser à nouveau.
WannaCry est aussi un ver informatique, qui se propage sur les réseaux sans nécessiter d'intervention humaine. Nul besoin de cliquer sur une pièce jointe, de visiter une page web ou d'ouvrir un e-mail, un document Word ou PDF. Ce week-end, un chercheur en sécurité informatique a connecté un pot de miel –ordinateur paramétré pour attirer cyberattaques et logiciels malveillants– à internet, il a été contaminé en moins de trois minutes.
WannaCry ne vise pas tous les ordinateurs, mais les PC Windows qui n'ont pas installé un patch de sécurité que Microsoft avait pourtant rendu public, en urgence, le 14 mars dernier, afin d'empêcher l'éxécution à distance de codes malveillants. Contrairement à ce que l'on peut entendre ou lire ici et là, ce patch ne répondait pas tant à la «découverte» d'une faille de sécurité par la NSA, mais à la mise en ligne d'un «exploit», du nom donné aux logiciels malveillants conçus par la NSA exploitant des failles de sécurité afin de prendre le contrôle d'ordinateurs.
Des failles connues et exploitées
«EternalBlue», l'exploit en question, fait partie des nombreux logiciels d'espionnage et de piratage informatique mis en ligne par The Shadow Brokers, une entité non-identifiée mais potentiellement liée aux services de renseignement russes qui, depuis l'été dernier, a rendu public une partie de l'arsenal cyber de la NSA. EternalBlue reposait, en partie, sur une vulnérabilité «0day», ces failles de sécurité inconnues des éditeurs de logiciels (d'où le nom, «0day» en anglais pour «zéro jour») qui, parce qu'elles n'ont pas été corrigées, peuvent être exploitées par des assaillants, et dont les services de renseignements techniques sont très friands.
À LIRE AUSSIDepuis le début des révélations Snowden concernant la surveillance massive de l'agence de sécurité américaine, et a fortiori depuis celles des Shadow Brokers, de nombreuses voix ont critiqué le fait que la NSA ait préféré consacrer 90% de son budget à développer des logiciels malveillants à partir des failles de sécurité qu'elle avait identifiées, plutôt que d'améliorer la sécurité informatique des infrastructures et terminaux internet en avertissant les éditeurs de logiciels, de sorte qu'ils puissent les colmater, et éviter qu'elles puissent être exploitées par des personnes mal intentionnées... Ce que l'on vit donc depuis vendredi dernier.
.@NSAGov's choices risked permitting low-skill criminals launch government-scale attacks, and then it happened. There's no waving that away. https://t.co/YSbbonoSDj
— Edward Snowden (@Snowden) 13 mai 2017
«Les choix de la NSA risquaient de permettre à des petits criminels de lancer des attaques à grande échelle, et cela s'est passé. On ne peut pas oublier ça.»
En tout état de cause, WannaCry n'est donc pas tant une «cyberattaque» lancée par des «cybercriminels» qu'une escroquerie initiée par des opportunistes qui se sont contentés de recycler un logiciel espion développé par la NSA. Histoire de parfaire le tableau, WannaCry est aussi la conséquence de choix politiques privilégiant les économies budgétaires en matière d'informatique à la sécurisation de leurs utilisateurs en particulier, et l'internet en général.
Le pire est (peut-être) à venir
La NSA n'avait bien évidemment pas prévu qu'une partie de son arsenal cyber pourrait ainsi fuiter sur internet, pas plus que la CIA n'avait prévu que WikiLeaks ne révèle les modes d'emploi de ses... «gremlinware», du nom donné à ses logiciels visant, non seulement à espionner, mais aussi à pourrir la vie des internautes espionnés.
La NSA affirme que 91 % des failles découvertes font l'objet d'une communication à l’éditeur ou au constructeur pour qu’elles soient colmatées. Le fait est que la faille exploitée par WannaCry vise essentiellement de vieilles versions du système d'exploitation Windows, à commencer par Windows XP, qui n'est plus mis à jour, et dont les failles de sécurité ne sont donc plus colmatées gratuitement par Microsoft depuis avril 2014, ce qui n'empêche pas plus de 4% des internautes (dont 7% des Russes, notamment) de continuer à s'en servir. Microsoft a, à titre exceptionnel, développé un patch en urgence vendredi dernier à destination de ses systèmes d'exploitation dont le support a expiré.
De fait, nombreux sont les utilisateurs, particuliers, entreprises et administrations, qui continuent à utiliser des systèmes d'exploitation non mis à jour, voire périmés. Une chose est en effet, pour un particulier, de paramétrer Windows Update pour qu'il installe automatiquement les mises à jour de sécurité. Une autre est de pouvoir le faire, dans une entreprise ou une administration, lorsqu'il s'agit d'administrer des dizaines, centaines voire milliers d'ordinateurs, a fortiori lorsque les logiciels qu'ils utilisent ne fonctionnent que sous Windows XP, ce qui est notamment le cas de 90% des ordinateurs du NHS, le système de santé au Royaume-Uni. La tâche peut s'avérer très compliquée, voire impossible.
Le ver a déjà été mis à jour
WannaCry, qui a déjà contaminé plus de 200.000 ordinateurs selon Europol, aurait pu (et pourrait encore) faire bien plus de dégâts. D'une part parce que, ciblant majoritairement les réseaux d'entreprises et d'administrations, on ne sait pas encore ce qu'il en sera lorsque leurs employés retourneront à leurs bureaux ce lundi matin. D'autre part, parce que, si la propagation de WannaCry a été en partie bloquée grâce à un Britannique de 22 ans qui, voulant documenter sa propagation, l'a «accidentellement» bloquée, le ver informatique a d'ores et déjà été mis à jour, et continuera probablement à l'être.
Enfin, parce qu'on a déjà vu des employés rapporter leurs ordinateurs portables (infectés) au travail: ils espéraient (naïvement) que leurs responsables informatiques pourraient contribuer à les réparer. En les connectant à leurs réseaux d'entreprises ou d'administration, ils ont aussi et surtout contaminé tout ou une partie de l'ensemble des autres ordinateurs qui y étaient connectés, alors même qu'ils en avaient pourtant été jusqu'alors immunisés.
Si les systèmes d'exploitation Windows mis à jour ne sont, a priori, pas vulnérables à cette faille de sécurité «0day» exploitée par la NSA, puis par les développeurs de WannaCry, le problème tient aussi au fait que, dans les entreprises et administrations, lesdites mises à jour ne peuvent pas être faites par leurs utilisateurs, mais uniquement par les administrateurs de leurs ordinateurs.
Les jours qui viennent devraient nous permettre de mesurer les conséquences réelles de ce choix de la NSA de ne pas prévenir Microsoft plus avant de cette faille, ainsi que du choix fait (et/ou de la contrainte vécue) par des administrations et entreprises de ne pas mettre à jour leurs systèmes d'exploitation.
En attendant, et comme le résumait ce week-end un responsable sécurité d'une grosse entreprise informatique américaine, l'interconnexion des ordinateurs (aka internet), initialement pensée comme un système censé résister à une attaque nucléaire, peut donc aussi être mise à mal à cause de l'«internet des grille-pains» –le surnom donné à l'internet des objets–, et donc au fait que de plus en plus d'objets (dits) «connectés», et a fortiori d'ordinateurs, sont connectés à internet sans pour autant en mesurer les conséquences et possibilités, notamment en termes de sécurité.
