WannaCry, phishing et ransomware … comment ça fonctionne ? On décrypte !

hack-02

A moins d’avoir passé ce week-end dans une grotte, au fin fond d’une zone blanche ou dans un brouillard éthylique très épais (je ne montre personne du doigt), vous avez certainement entendu parler de l’attaque mondiale qui fait pleurer beaucoup de monde ? Non ? Alors comme ça vous ne lisez pas Tinynews le week-end ?

Alors, sachez que le monde vient de changer en un deux jours ! Qu’est ce qui a changé ? Hé non, il n’y a pas que le locataire de l’Elysée française qui ait changé.

Tous les téléspectateurs du monde entier ont découvert des mots étranges réservés jusqu’à présent aux plus avertis (ou victimes): un ransomware nommé WANNACRY se propage sur les ordinateurs du monde entier grâce à la faille SMB de Windows ETERNALBLUE, il déploie un cheval de Troie nommé DOUBLEPULSAR et au passage il crypte tous vos fichiers avec une paire de clés RSA 2048 et chaque fichier est chiffré en AES-128 unique ! Et heureusement la propagation a été (accidentellement) stoppée grâce à un kill switch !

C’est bon vous êtes sous Nurofen flash ? On va décrypter ça doucement pour vous et remonter dans le temps …

nsa

Tout a commencé par une nuit sombre, le long d’une route de campagne, alors qu’il cherchait un raccourci que jamais il ne trouva … oups désolé, je me suis trompé d’agence gouvernementale: il y a aussi trois lettres N.S.A. (National Security Agency … c’est facile à retenir il y a sécurité dans le nom, le hic c’est que ça signifie pour leur sécurité, pas la notre).

Acte 1: Depuis quelque temps, la NSA  découvre et exploite allègrement une faille de sécurité qu’ils nomment EternalBlue, cette faille se trouve au sein du protocole Microsoft Server Message Block (SMB port 445 en TCP) qui permet le partage de ressources sur des réseaux locaux. Cet outil, couplé au cheval de Troie DoublePulsar (pure produit de la NSA également) , permet d’ouvrir une porte dérobée et d’installer à loisir toute une ribambelle d’indésirables.

Acte 2: Durant le mois de février, un ransomware WannaCrypt commence à circuler : c’est un de ces indésirables qui se nourrit de vos fichiers, les crypte une fois digéré et vous demande de l’argent pour quitter votre système et, éventuellement , vous rendre vos fichiers.

Acte 3: Le 14 avril 2017, un groupe de hackers « The Shadow Brokers » révèle la faille de sécurité informatique exploitée par la NSA au grand jour et rend l’outil (ainsi que d’autres encore) public .

Entracte: Le 14 mars 2017, la grande entreprise philanthropique Microsoft publie un correctif de sécurité pour palier à cette faille

Acte final: Le 12 mai 2017 le ransomware WannaCry se propage en combinant l’ensemble des technologies de la NSA : l’infection est redoutable d’efficacité !

Par chance un chercheur en sécurité informatique découvre un kill switch, une sorte d’interrupteur d’arrêt qui va vérifier un nom de domaine improbable, si le domaine répond c’est que le virus pense être dans un environnement virtuel (anti-virus, sandbox…) et il se met en sommeil pour ne pas se faire repérer !

on

Malheureusement, comme la nature a horreur du vide, d’autres cybercriminels (qu’on appelle des copycats… oui, oui , exactement comme dans le film) ont remis en circulation d’autres versions, de nouvelles attaques vont survenir. La méthode est simple et, forcement, plus elle fait parler d’elle, plus elle donne des idées …

La sécurité est maintenant l’affaire de tous, mais cette année sera « l’année du ransomware« , comme le précise le Général Keith Alexander. Et si c’est l’ancien directeur de la NSA qui le dit, pourquoi en douter !

Alors, au final, qu’est ce qui a changé ?

Jusqu’à présent, le monde voyait que la technologie pouvait rendre des services, qu’elle était en mesure de faciliter ou d’améliorer le quotidien et, au pire, qu’elle bouleversait les modes de consommation. A présent, le monde découvre que la technologie rend dépendant et vulnérable. En effet, ce ne sont plus vos données personnelles, les images de vos dernières soirées ou l’anniversaire de votre petit dernier qui est visé, mais bien l’attaque de masse qui tire aveuglement et touche des hôpitaux, paralysant les services d’urgences et les salles d’opérations, elle touche des grandes industries, bloquant ainsi la production et générant du chômage technique, des pertes d’emploi ou des fermetures d’entreprises.

Le monde découvre le terme de cyber-attaque ou de cyber-guerre et cette arme ne sert pas simplement à influencer une campagne présidentielle, mais elle touche aveuglément, et sans distinction, puissants ou quidams simplement venu travailler ou se faire soigner !

Un simple ordinateur et une personne mal intentionnée (avec, cette fois, l’aide involontaire des services de certains états) peuvent paralyser et toucher des milliers de vies réelles ! Ce ne sont plus uniquement des données immatérielles qui sont concernées mais des personnes …

On nous vante les mérites de cette course à la technologie sans vraiment prendre le temps d’éduquer, d’expliquer et de prévenir des dangers !

Vous avez installé une caméra IP avec une alarme dans son salon afin de vous permettre d’être rassuré, mais cette même caméra peut être « hackée » et infiltrée. Votre vie privée est alors, au mieux, observée et, au pire, exposée (récemment, un site permettait d’accéder à plus de 70.000 caméra piratées).

Vous avez installé une imprimante wifi chez vous pour ne plus avoir de fils disgracieux, c’ est pratique, mais saviez vous qu’un hackeur a déclenché à distance des impressions sur un parc de 150.000 imprimantes non sécurisé.

Maintenant, les voitures se connectent et se mettent à jour en réseau,  mais, en même temps, elles se piratent: l’équipe du Keen Security Labune a pris le contrôle d’une Telsa Model S et deux chercheurs américains sont parvenus à pirater une Jeep Chrysler qui roulait sur l’autoroute … depuis leur canapé.

nfc

Et le NFC ? Vous connaissez ? Non il ne s’agit pas d’un nouveau fast-food à la mode …  Near Field Communication (Communication dans un champ proche) est une norme de communication sans fil,  du  « sans contact » choisi par les banques et installée maintenant par défaut sur vos cartes bancaires !

Il y a quelques jours, dans le métro, j’entends une alerte prévenant que des pickpocket sont présents dans la station et qu’il fallait donc être vigilant … tout le monde a commencé à serrer son sac et à s’épier ! La méfiance était installée  !

Je me suis alors demandé combien de personnes présentes utilisaient les nouvelles cartes bancaires avec le NFC ? Combien de ces personnes savaient qu’un simple téléphone ou un lecteur NFC un peu boosté en puissance et un logiciel gratuit disponible sur le store permettrait de lire les données de la carte, juste en parcourant la rame de métro ?

Je pense que maintenant on ne pourra plus dire « Je ne savais pas » ….

Christian Meyer

Tombé sur un ordinateur à l'époque où on parlait encore en Octets, il a maintenant grandit mais il continu à démonter tous ce qui lui tombe sous la main "pour voir comment ça marche à l'intérieur".