Informatique & Télécommunications (6-7/2017)

WannaCry version 2.0: autopsie d’un rançongiciel

La diffusion planétaire de WanaCryptor résulte de l’union d’un rançongiciel (ramsonware) standard et d’outils de piratage, basé sur des vulnérabilités de Windows manifestement exploitées par la NSA, puisqu’elles ont servi de socle à diverses activités d’espionnage de l’agence américaine. Elles ont ensuite fuité de la NSA. Ce cocktail détonnant a pris au piège, notamment, Renault, Telefonica et le système de santé britannique, le NHS. Il a semé la panique en Espagne, puis dans le monde entier dans la nuit du 12 au 13 mai.

En quelques heures, le rançongiciel WannaCry, connu aussi sous le nom WanaCryptor (ou WCry), s’est taillé un succès planétaire, multipliant les infections dans plus de 70 pays. «Il s’agit d’une cyber-attaque d’un niveau sans précédent» selon Europol. Dans la nuit de vendredi à samedi, un ingénieur de l’éditeur d’antivirus Avast, Jakub Kroustek, dénombrait plus de 100’000 systèmes Windows infectés en moins de 24 heures, 57 % d’entre eux étant localisés en Russie.

 

Les plans du «casseur de chiffrement» de la NSA en libre accès !

Égarés sur un serveur de sauvegarde d’une université américaine, les plans d’un système appelé WindsorGreen révèlent les efforts de la NSA pour casser les chiffrements. La machine repose sur des composants spécialisés afin de gagner en efficacité. Selon The Intercept (archives Snowden), les plans de l’architecture d’un ordinateur top secret dédié à casser le chiffrement étaient en libre accès sur Internet !

Baptisé WindsorGreen, ce système est une initiative conjointe du département de la Défense américain, d’IBM et de l’Université de New York qui héberge un institut de mathématiques et d’informatique hautes performances. C’est en explorant les systèmes de ce dernier qu’un lanceur d’alerte, baptisé «Adam» (c’est un pseudonyme) a débusqué en décembre dernier, un serveur de sauvegarde librement accessible via Internet. C’est sur cette machine qu’étaient stockés des douzaines de documents relatifs au projet WindsorGreen, soit des milliers de pages détaillant l’initiative.

 

Quand les antivirus se transforment en arme fatale

Des scientifiques allemands ont démontré comment un logiciel antivirus peut changer de cible en se retournant contre les fichiers sains des systèmes d’exploitation. Ces chercheurs ont mis au point une méthode pour détourner les signatures antivirales de leur objectif premier, à savoir protéger l’intégrité des systèmes informatiques d’une organisation, afin de les intégrer dans des fichiers légitimes.

Concrètement, lorsqu’un logiciel antivirus trouve la signature d’un agent malveillant dans le contenu d’un fichier qu’il analyse, l’application détruit ou met en quarantaine le document potentiellement infectieux. Or, si cette signature est injectée sur des fichiers légitimes et parfaitement sains, le filtre de sécurité risque de se transformer en véritable machine destructrice pour les documents de l’entreprise.