De l’avis unanime des spécialistes, l’attaque du rançongiciel WannaCrypt qui s’est déclenchée vendredi juste avant le week-end était d’une ampleur et d’une rapidité inédite. ll ne lui a suffi que de quelques heures pour se répandre dans le monde entier, infectant pas moins de 200.000 ordinateurs dans 150 pays et occasionnant des dégâts potentiellement considérables. Parmi les victimes, de grandes organisations telles que le service national de santé britannique (dont les hôpitaux sont fortement perturbés), le constructeur automobile Renault ou l’opérateur téléphonique espagnol Telefonica mais aussi des écoles, des universités, des banques… De quoi déclencher une belle panique.

De fait, l’attaque est montée rapidement en une des journaux, TF1 y consacrant même la première partie de son 20h00 samedi soir. Heureusement, entre-temps l’attaque avait perdu de sa virulence suite à l’intervention fortuite d’un jeune chercheur en sécurité britannique. Vendredi, dans les heures qui ont suivi le début de l’attaque, alors qu’il était en train d’étudier le code source du rançongiciel, ce-dernier remarque que les machines infectées tentent de se connecter à un nom de domaine en .com d’une quarantaine de caractères. Ce nom de domaine n’appartenant à personne, il s’empresse de le déposer pour tracer les machines contaminées. Mais il constate bientôt cette simple action a eu pour effet d’enrayer la propagation du rançongiciel. En effet, celui-ci a été programmé pour se connecter à ce nom de domaine. Et, curieusement, il ne chiffre les données de la machine infectée qu’en cas de non réponse de ce dernier. Si le nom de domaine répond, le rançongiciel devient inopérant.

L’attaque a donc été rapidement stoppée et ce de manière triviale. Il n’en reste pas moins que sa virulence de l’attaque et sa vitesse de propagation sont préoccupants. Alors que les ransomwares traditionnels se propagent via des mails piégés, WannaCrypt s’est servi d’une faille dans le protocole d’échange réseau SMBv1 de Windows pour se propager de lui-même, note Benoît Grunemwald, directeur des opérations d’ESET France. Une technique qui s’apparente plus à celle du ver informatique et qui explique la vitesse à laquelle il s’est répandu.

Seule parade contre cette faille, longtemps exploitée par la NSA pour ses propres besoins avant qu’elle ne soit révélée en avril dernier par The Shadow Brokers : la mise à jour de Windows. Microsoft a publié dès le 14 mars des patchs pour les versions de Windows encore supportées et a publié ce week-end une correction pour Windows XP, qui n’est plus supporté mais qui reste très répandu dans les entreprises et qui a apparemment été la version la plus vulnérable à WannaCrypt.

« WanaCrypt : seuls les négligents ont été touchés », résumait, un rien provocateur, Corey Nachreiner, le CTO de Watchguard dans une tribune diffusée par communiqué de presse ce jour. Un avis que partage Alain Takahashi, président du distributeur spécialisé dans les solutions de sécurité Hermitage Solutions. Pour lui, il faut « arrêter de faire les étonnés et sortir la tête du sable ! On s’époumone à expliquer qu’appliquer les mises à jour des éditeurs prémunit de la plupart de ces attaques, tout comme Louis Pasteur s’époumonait à expliquer aux chirurgiens qu’il faut se laver les mains entre chaque malade pour ne pas propager des germes. Mêmes causes, mêmes effets, autre époque : on ne change pas les habitudes comme ça ! », regrette-t-il. Il convient néanmoins de nuancer en rappelant que beaucoup de responsables informatiques choisissent de ne pas systématiquement mettre à jour leurs systèmes pour des raisons de coûts préférant prendre le risque d’affronter une attaque le cas échéant.

En France, on recense pour l’instant peu de victimes. L’Anssi évoque moins une dizaine d’entreprises touchées à sa connaissance. On pense notamment à Renault, dont la production de l’usine de Douai a été arrêtée dès vendredi et qui ne devait redémarrer que ce mardi matin. Il y a probablement d’autres entreprises affectées qui ont préféré de rien dire. Sur la base de ses outils de détection, ESET évoque quelques centaines de systèmes touchés en France. Soit moins de 1% des victimes détectées. Les conséquences restent donc limitées pour l’instant. Benoît Grunemwald a bien constaté un surcroît de 30% d’appels au support technique d’ESET ce lundi. Mais dans la totalité des cas, il s’agissait de clients non impactés qui voulaient s’assurer qu’ils étaient bien protégés, explique-t-il. Il précise que des clients ont bien fait l’objet de tentatives d’attaques mais qu’elles ont toutes été maîtrisées.

Autre motif de satisfaction des professionnels : le porte-monnaie bitcoin destiné à recevoir les rançons – les auteurs réclament 300 $ pour décrypter les données des machines infectées – est finalement assez peu alimenté : 40.000 dollars, selon Benoît Grunemwald. Ce qui signifie selon lui que les conseils des autorités compétentes enjoignant les victimes à ne pas payer sont plutôt suivis.

Mais si la situation s’est rapidement stabilisée, chacun s’attend à de nouvelles attaques via des variantes de WannaCrypt. Les professionnels de la sécurité multiplient donc les appels pour que les entreprises opèrent les mises à jour requises si elles ne les ont déjà faites et bien-sûr pour qu’elles sauvegardent leurs données.