Cyberattaque mondiale : tout savoir sur WannaCry qui a ravagé des milliers de PC

Date de dernière mise à jour : le 16 mai 2017 à 15 h 25 min

Ce week-end, internet a été chamboulé par WannaCrypt, une attaque par ransomware qui a infecté des milliers de PC et causée des perturbations dans le monde entier, jusqu’à même toucher un hôpital. Voici tout ce qu’il vous faut savoir sur cette cyberattaque mondiale : ses origines, sa propagation et comment vous en protéger à l’avenir. 

wannacrypt ransomware

La sécurité informatique est primordiale à l’heure où nos fichiers et (très sincèrement) nos vies sont désormais stockés sur nos appareils électroniques. Se faire voler ses fichiers peut être fatal : de simples souvenirs de vacances à l’usurpation de votre identité en ligne, il n’y a qu’un pas que peu de pirates hésiteront à franchir.

En 2017, la tendance est aux attaques par ransomware, des malwares qui chiffrent vos données et vous demandent une rançon pour les récupérer. Une sorte de chantage version 2.0 qui affecte aussi bien les particuliers que les professionnels.

Ce week-end, un malware en particulier s’est illustré. Nommé WannaCry (ou WannaCrypt, WanaCrypt0r, WCrypt etc etc), il s’est propagé à une vitesse record et a réussi à immobiliser de nombreuses infrastructures à travers le monde. Retour sur l’affaire.

WannaCry et ransomware : qu’est-ce que c’est ?

Comme nous le disions précédemment, WannaCry est un ransomware. Le principe de ces malwares est très simple : une fois installé, par le biais d’un installateur de programme infecté par exemple, celui-ci va prendre place sur votre disque dur.

Son but ? Récupérer tous vos fichiers et les chiffrer à l’aide d’une ou plusieurs clés. De ce fait, tous vos fichiers vous sont désormais inaccessibles. Un petit message apparaît alors, vous invitant à payer une rançon sous quelques jours pour pouvoir récupérer la clé permettant de les “déverrouiller”. Si vous ne payez pas à temps, votre ordinateur est effacé.

Les sommes demandées sont multiples, mais généralement relativement basses. Le but de ces attaques n’est pas de faire un gros coup sur une cible particulière, mais de toucher plusieurs personnes à la fois pour multiplier ses chances de paiement.

WannaCry fonctionne de la même manière, et ne demande “que” 300 dollars pour récupérer ses fichiers. Toutefois, la somme demandée double au bout de trois jours d’attente pour vous forcer la main. Au bout de six, vos fichiers sont définitivement perdus.

Qui plus est, si vous êtes connectés à un réseau local, le malware en profitera pour se propager sur tous les autres appareils figurant sur ce réseau automatiquement. Pour éviter qu’une restauration système ne l’efface, il va également infecter vos points de restauration.

Que s’est-il passé ce week-end avec WannaCry ?

Les ransomwares sont loin d’être nouveaux dans le monde de la sécurité informatique, et c’est aussi le cas pour WannaCry. Mais le vendredi 12 mai 2017, celui-ci s’est propagé à une vitesse folle dans le monde au point de toucher une centaine de pays : Grande-Bretagne, Espagne, Portugal, Mexique, Australie, Russie mais aussi… la France. Au total, ce sont au minimum 95 000 PC qui ont été affectés.

Ce samedi, le groupe Renault a reconnu avoir été touché par cette attaque et a été ainsi forcé de mettre à l’arrêt plusieurs de ses usines sur le territoire. Pour d’autres pays, les conséquences furent beaucoup plus graves.

En Grande-Bretagne par exemple, ce sont les parcs informatiques de plusieurs hôpitaux qui ont été touchés, forçant l’immobilisation de nombreux services. Fort heureusement, du fait que le réseau électrique n’a pas été coupé, les dégâts de cette attaque ont été mineurs.

Rendez-vous compte : sans système informatique, impossible de consulter les antécédents d’un patient et donc ses allergies ou ses problèmes précédents. Dans le cadre d’une crise majeure, il serait donc impossible pour un médecin de garantir le soin de ses patients.

Mais ce n’est pas tout : en Espagne, des réseaux d’eau et de gaz ont également été bloqués par ce ransomware.

D’où vient cette cyberattaque mondiale et à qui profite-t-elle ?

Bien que les ransomwares ne soient pas récents, une attaque d’une telle ampleur tend à laisser penser qu’elle fut orchestrée par un acteur bien plus grand. La piste d’une opération criminelle ou d’une attaque étatique (ou a minima soutenu par un Etat) n’est pas écartée.

Pour le moment, nous n’en savons donc pas plus. Toutefois, l’origine de WannaCry peut être retracée au moins de février 2017, alors qu’une première version nommée WeCry avait déjà été repérée et était, selon toute vraisemblance, créée par les mêmes individus.

La NSA, responsable de WannaCry ?

Alors que cette crise sécuritaire sur internet a éclaté, vous avez peut-être pu voir passer l’information aux côtés de la NSA. Mais pourquoi l’organisme américain est cité ? Tout simplement parce qu’il est vu comme partiellement responsable.

Voyez-vous, pour se propager, WannaCry utilise une faille de sécurité patchée le 14 mars 2017 seulement par Microsoft et trouvée uniquement par la NSA. L’agence de renseignement l’utilisait dans le cadre de ses opérations de renseignement et d’espionnage, et ne l’avait donc pas rendue publique.

Le patch du 14 mars était surtout à destination des dernières versions de Windows, du fait que Windows XP n’est par exemple plus maintenu par l’éditeur. C’est pourquoi il s’agit de la version la plus touchée par le ransomware.

WannaCry a-t-il été stoppé ?

Le ransomware a rapidement vu sa progression être endiguée, ce qui ne veut pas nécessairement dire que cette menace est derrière nous. Cette première version avait en effet une faille remarquable qui aura causé sa perte.

C’est un jeune anglais de 22 ans, qui s’identifie sous le nom MalwareTech, qui l’aura découverte… par hasard. Le jeune homme s’est procuré une copie de ce virus pour analyser son code, et est tombé sur une adresse web non-enregistrée dans son code : “IUQERFSODP9IFJAPOSDFJHGOSURIJFAEWRWERGWEA.COM”.

Il a donc acheté le nom de domaine dans le mode de faire du monitoring sur cette attaque, avant de se rendre compte que les connexions vers ce site nouvellement créé chutaient les unes après les autres.

Il s’agissait en fait du “kill switch” de cette attaque : lors de son installation, WannaCry envoyait un ping à cette adresse. S’il ne recevait pas de réponse, l’attaque progressait. Mais comme le domaine a été activé et renvoyait une réponse, le chiffrement n’avait pas lieu.

Toutefois, ne vous réjouissez pas trop vites : des versions 2.0 de WannaCry sont déjà déployées à travers le monde, utilisant des noms de domaines différents ou ayant tout simplement enlevé le moindre kill switch. Rien n’est encore terminé.

Comment se protéger de cette cyberattaque ?

Comme dit précédemment, WannaCry touche les Windows n’ayant pas reçu la mise à jour de sécurité du 14 mars. Cela sous-entend donc les anciennes versions de Windows n’étant plus suivies, mais également celles ayant désactivé les mises à jour Windows Update.

Que cette histoire serve donc de leçon : voilà pourquoi vous vous devez de tenir votre ordinateur à jour ! A l’avenir, mieux vaudra ne plus utiliser Windows XP, NT4, 2000 et 2003. Exceptionnellement, Microsoft a mis en place un patch de sécurité pour protéger les anciennes versions de Windows, disponible ici.

Si vous avez déjà installé la mise à jour, une étape supplémentaire pour garantir votre sécurité est de désactiver le partage de fichier SMB1.0/CFS qui garantira qu’un ordinateur de votre réseau local ne vienne pas vous infecter. Pour cela :

  • Allez dans les paramètres Windows
  • Cliquez sur Programmes
  • A droite, cliquez sur “Programmes et fonctionnalités”
  • A gauche, cliquez sur “Activer ou désactiver des fonctionnalités Windows”
  • Dans la liste, décochez “Support de partage de fichiers SMB 1.0 / CIFS”

Des logiciels spéciaux et gratuits, comme RansomFree, vous protègent également spécifiquement contre cela. Si vous avez déjà un antivirus, ceux-ci sont progressivement mis à jour pour prendre en compte cette attaque. A noter que Windows Defender a également été mis à jour.

Mais n’oubliez surtout pas les règles de base de votre sécurité sur internet : exercez de la prudence lorsque vous naviguez sur internet ou recevez des mails.

Que faire si l’on est infecté par WannaCry ?

Comme l’indique le nom, vous pouvez… pleurer. Plus sérieusement, si vos fichiers sont chiffrés par le malware, il va être extrêmement difficile de les récupérer. Votre seule véritable solution pour récupérer votre machine est de la remettre entièrement à zéro.

D’où l’importance de faire des copies de vos fichiers, sur le cloud ou sur un disque dédié par exemple. Il peut être intéressant toutefois, si vous vous faites infecter, de garder une copie de vos fichiers chiffrés. En effet, les éditeurs d’antivirus offrent souvent des outils pour déchiffrer ses données après ce genre d’attaque, une fois la clé trouvée.

Réagissez à cet article !
  • Pfelelep_écrit_en_UTF-8

    Comment se protéger de WannaCry?

    Facile.

    Quel est le point commun à tous les ordinateurs infectés? Aucune trace de cet éditeur chez moi depuis 1995, sauf une XBox (la première), même pas connectée au net.

    • ptit_poulet

      Et donc ?
      Aucune maîtrise du sujet… tu peux aller jouer ailleurs, merci ;)

      • Julien Hartmann

        Beaucoup d’aigreur par ici. Il faisait peut-être mention du fait que le processus de mise à jour de Microsoft est particulièrement inefficace ? Par exemple, le fameux correctif contre cette vulnérabilité, téléchargé directement du site de Microsoft, ne s’installe pas sur le Windows 8.1 de ma compagne, parfaitement en règle. Il mouline dans le vide pendant 45 minutes puis dit qu’il a rencontré un
        problème (mais ne précise pas quoi) et quitte.

        Un problème récurrent des mises à jour Microsoft. Qui laisse songeur quand on voit la facilité de mise à jour des systèmes et applications android / macos / ios ou des packages debian : 20s, pas de redémarrage et c’est plié. Même pas besoin de fermer les programmes en cours.

        En attentant, si quelqu’un sait débloquer le problème de patch de ma compagne ? J’ai seulement trouvé quelques vagues discussions sur des forums de gens qui ont le même problème et te disent de lancer des commandes que tu ne comprends pas en mode admin ou d’éditer le registre, avec tout ce que ça implique question sécurité.

        • Hlide Fremen

          Raison particulière de ne pas passer à Windows 10 ? je veux dire, il est tout à fait possible de faire la migration gratuitement de 8.1 à 10 avec MediaCreator (un outil de migration vers win10 de Microsoft) même si en théorie, la gratuité n’est plus : ça débloque d’une part la situation et d’autre part, ça s’avère salutaire sur des vieux laptops qui semblent reprendre du poil de la bête avec. Détail qui a son importance : au lancement de l’outil, ne pas accepter de faire la mise à jour de 8.1 qui est demandé juste avant la migration effective vers 10. Je pense que ce doit être le même problème que j’ai connu ainsi que mes voisins qui apparaissait à partir d’une certaine mise à jour pour la 8.1. Je n’ai pas eu besoin de resaisir les anciennes clés de 7 ou 8.1 : l’outils semble aussi faire valider ces clés pour la version 10. Je l’ai fait à plusieurs reprise et ça fonctionne nickel – j’en déduis donc que la migration gratuite reste tolérée par Microsoft.

          • Julien Hartmann

            La réponse est un peu dans la question en fait, juste à lire votre message ça semble d’une complication inutile. Qu’y-a-t’il à la clé ? Windows 8.1 est toujours supporté, et elle n’a aucun logiciel qui exige Windows 10. Devoir passer par tout un processus avec potentiellement des problèmes à la clé… sans compter qu’il est *très* probable que ça fasse sauter la garantie du constructeur, mais là encore il faut aller lire les petites lettre pour le savoir.

            Suis-je même sûr que la mise à jour ne va pas zapper la partition EFI ou les outils de restauration du système du constructeur ? Ca m’est déjà arrivé et après c’est très pénible de tout remettre en ordre.

        • ptit_poulet

          En même temps le PC de ta compagne est déjà protégé depuis mars si tu as fait les maj normalement via Windows Update…
          C’est Windows 8 qui n’était pas protégé et non Windows 8.1 ;)
          Donc forcément essayer d’installer un truc qui n’est pas pour lui ça ne risque pas de fonctionner…

      • Pfelelep_écrit_en_UTF-8

        Aucune maîtrise de devoir gérer ce genre de merde, je te l’accorde.

        • ptit_poulet

          C’est juste que tu parles de choses dont tu ne maîtrises pas le sujet.
          Tu fais le fier avec ton PC sous Linux tout en dénigrant Windows. Mais si tu avais regardé un minimum le sujet tu aurais vu que seules les versions qui ne sont plus supportées sont exposées. Ainsi que les installations non mises à jour.
          Donc au final c’est le même combat que ce soit Windows, Linux, MacOSX….

          • Pfelelep_écrit_en_UTF-8

            On a arrêté des usines à cause de ça.
            Encore bravo et merci les ricains !

          • ptit_poulet

            Encore une fois tu montres ton incompétence sur le sujet… Les entreprises à l’arrêt sont des entreprises qui utilisent un OS non à jour ou plus supporté. Donc c’est leur problème et pas celui de l’éditeur qui au passage à quand même déployé de façon exceptionnel un patch pour ses OS plus supportés.

          • doggy310

            Ceux qui gueulent le plus contre Windows sur ce sujet sont visiblement ceux qui le maîtrise le moins…

          • Pfelelep_écrit_en_UTF-8

            C’est faux.

          • Stef80

            Tout à fait. La faille a été révélée en mars, et corrigée dans la foulée par Microsoft sur tous ses OS encore maintenus.

        • Stef80

          https://www.quora.com/Does-LINUX-protect-you-against-Ransomware

          • Pfelelep_écrit_en_UTF-8

            Tu sais lire?

          • Stef80

            Faut croire que toi, non.

            “But all this won’t protect you from ransomware if you take the risk of downloading and installing programs from unverifed/unreliable sources”
            Comme sous Windows, en fait :)

          • Pfelelep_écrit_en_UTF-8

            Bah non.
            Le virus belge, c’est aussi une exclusivité de Windows.

          • Stef80

            Ah en fait, tu ne sais pas lire et ne comprends pas l’anglais… pas grave, encore quelques années à l’école et tu comprendras :)

          • Pfelelep_écrit_en_UTF-8

            Au contraire. Tu donnes la définition du virus belge.

    • Patruche

      C’est vrai que les autres sont infaillibles, je dis pas, Windows est le plus touché car il représente une majeure partie des parts de marchés, qui irait faire un attentat dans une grange avec 2 pégus qui y vivent ? Personne… C’est le même principe, faire un beau bordel, si demain Mac OS ou Linux dépasse largement Windows, tu peux être sûr que ça va commencer à taper. Et Mac OS a déjà de plus en plus d’attaques, souvent violentes, faibles, mais violentes… x)

      Je les défends pas, je dis juste qu’il faut prendre ses précautions partout, un des meilleurs antivirus reste entre la chaise et le clavier…

      • Carlos Borges

        Ca ne peut pas se produire sous Linux pour la bonne et simple raison que tout est centralisé, testé et validé avant d’être mis à disposition.

        Sous Windows, tu veux quelque chose, tu pars à la pêche au petit bonheur la chance, sans jamais être sûr de la fiabilité des sites où tu vas, ni du matériel que tu télécharges…

        Sous Linux, tu vas dans la “centrale” correspondant à ta distribution et voilà, tout ce qui s’y trouve est garanti, de plus, Linux te demande ton autorisation pour toute action importante (installation de logiciel, modification de fichiers sensibles etc), t’es obligé de t’identifier à chaque fois, alors que Windows, tu lances l’installation d’un logiciel, il te demande rien la plupart du temps, tu sais pas s’il t’installe pas 50 “pourriciels” en même temps (et c’est de fait souvent le cas).

        Perso, je n’utilise Windows plus que sur mon PC de gaming, vu que les gros jeux commerciaux ne sortent pour la plupart que sous Windows, pour mes autres PC, un bon lInux (Manjaro est parfait pour moi), tranquille, pas besoin d’antivirus.

        • Patruche

          Copier coller de l’autre réponse au dessus => Android tourne sur une base Linux… Y’a pas que Linux pure et brut du chevelu barbu dans la vie…

        • Stef80

          https://www.quora.com/Does-LINUX-protect-you-against-Ransomware

          Linux n’est pas imperméable à ce genre d’attaque. La première erreur, est de se croire invulnérable.

      • Pfelelep_écrit_en_UTF-8

        Je suis sous Linux.
        C’est tout ce que tu sais. Quel noyau ? Recompilé monolithique.
        Quelle libc, quelles méthodes d’authentification ?….

        • Patruche

          Android tourne sur une base Linux… Y’a pas que Linux pure et brut du chevelu barbu dans la vie…

          • Pfelelep_écrit_en_UTF-8

            Et?

          • Patruche

            Et ? Bah ça change rien au fait que Linux n’est pas infaillible non plus, ça dépend de la distrib etc peut-être, mais y’a des failles sur Android et ça tire sa base de Linux… Donc dire que Linux = safe à mort c’est faux… Rien n’est infaillible, c’est ce que je dis dans mon commentaire initial quand même… y’a bien des mecs qui arrivent à récupérer des données avec le bruit des ordis… Vous idolatrez Linux comme si c’était totalement inviolable. Je disais juste donc (pour la 100 000ème fois) attention, y’a toujours des failles. Bref.

          • Stef80

            Tout à fait. Linux n’est pas infaillible. Récemment il y a eu Linux.Encoder1 qui a fait des ravages…
            https://www.quora.com/Does-LINUX-protect-you-against-Ransomware

          • Pfelelep_écrit_en_UTF-8

            On cause d’attaques sur des serveurs d’entreprises, tu réponds smartphone.
            Grotesque.

          • Patruche

            Ecoutes t’es un rageux et tu me gonfles, ce n’est pas que des serveurs qui se sont pris cette attaque, bref, continues de brailler t’es pas intéressant…

          • Pfelelep_écrit_en_UTF-8

            Il n’y a que sur les serveurs d’entreprises qu’il y a un impact supérieur à la perte de 3 pauvres photos de vacances.

          • Patruche

            Je suis totalement d’accord avec ça, je dis pas…

  • Pfelelep_écrit_en_UTF-8

    Plus sérieusement, si vos fichiers sont chiffrés par le malware, il va être extrêmement difficile de les récupérer.

    Sauf pour quiconque ayant 2 sous de jugeote et ayant pris quelques précautions avec ses données sensibles.

Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Les 8 premières choses à faire sur votre nouveau smartphone Android

Si vous venez d’acquérir un nouveau smartphone Android alors quelques précautions d’usages sont nécessaires. Découvrez huit conseils sur ce que vous devriez commencer par faire une fois votre appareil sorti de la boîte. Entre évidences et petites astuces, on fait le tour de ce qu’il faut savoir.

b202485e00e86f41bacc309e47f820cbooooooooooooooooooooo