Pourquoi la NSA est (un peu) responsable de la cyberattaque mondiale

L'agence de renseignement américaine a été pointée du doigt pour avoir utilisé une faille qui a ensuite été exploitée par les pirates.

Un panneau d\'affichage de la gare de Chemnitz (Allemagne), bloqué par le \"rançongiciel\" Wannacry, le 12 mai 2017.
Un panneau d'affichage de la gare de Chemnitz (Allemagne), bloqué par le "rançongiciel" Wannacry, le 12 mai 2017. (P. GOETZELT / DPA / AFP)
avatar
Vincent MatalonFrance Télévisions

Mis à jour le
publié le

Il a ralenti le fonctionnement des hôpitaux britanniques, mis à l'arrêt l'usine de Renault de Sandouville (Seine-Maritime) et perturbé les installations de l'opérateur espagnol Telefonica. Le logiciel malveillant Wannacry, qui verrouille les fichiers de l'ordinateur sur lequel il s'installe et force l'utilisateur à payer une rançon pour y avoir de nouveau accès, a fait au moins 200 000 victimes depuis le début de sa propagation, vendredi 12 mai.

"Tout, dans le scénario présent, fait penser à une attaque criminelle" et non étatique, estime dans les colonnes du Monde Guillaume Poupard, directeur de l’Agence nationale de la sécurité des systèmes d’information rattachée à Matignon. Mais depuis le début de la propagation de Wannacry, la NSA américaine est pointée du doigt par certains experts. Franceinfo vous explique les raisons des critiques.

Comment fonctionne Wannacry ?

Wannacry, parfois appelé "Wanna Decryptor 2.0", "WCry 2", "WannaCry 2" ou encore "Wanna Decryptor 2", est un logiciel malveillant de type "rançongiciel", qui vise les machines utilisant une version ancienne du système d'exploitation Windows édité par Microsoft.

Une fois infecté par Wannacry, l'ordinateur continue de fonctionner normalement, jusqu'à ce que l'auteur de l'attaque décide de passer à l'action. Wannacry contacte alors un serveur distant et se met à chiffrer l'ensemble des fichiers de la machine à l'aide d'une clé connue seulement du commanditaire de l'attaque. Tous les documents présents sur le disque dur de la victime deviennent alors inaccessibles.

La machine bloquée, Wannacry diffuse une demande de rançon traduite en plusieurs langues. Pour déchiffrer ses fichiers, l'utilisateur est invité à transférer sous 72 heures l'équivalent de 300 dollars américains en bitcoins, une monnaie numérique difficilement traçable, à un porte-monnaie virtuel. Une fois ce délai écoulé, le prix demandé double, et la machine est définitivement bloquée après sept jours, promet le logiciel malveillant.

La demande de rançon affichée par une variante du logiciel malveillant \"Wannacry\", qui s\'est activé vendredi 12 mai 2017 sur plus de 200 000 ordinateurs.
La demande de rançon affichée par une variante du logiciel malveillant "Wannacry", qui s'est activé vendredi 12 mai 2017 sur plus de 200 000 ordinateurs. (WANADECRYPTOR 2.0)

Comment ce logiciel s'est-il propagé  ?

En règle générale, l'utilisateur installe à son insu un "rançongiciel" classique en ouvrant une pièce jointe corrompue, comme un document Word ou PDF, et qui demande souvent des autorisations inhabituelles pour s'exécuter, comme le montre cette vidéo explicative de la société d'antivirus Kaspersky Lab.

La particularité de Wannacry est de ne pas se propager par le biais de ces fameuses pièces jointes corrompues. Une fois installé sur un premier ordinateur, ce "rançongiciel" peut en effet contaminer d'autres machines connectées à la première par le biais d'un réseau local.

Pour ce faire, Wannacry exploite une vulnérabilité du protocole SMB (Server Message Block), utilisé par Windows pour relier des ordinateurs et des imprimantes entre elles. Cette faille, qui ne concernait a priori pas les versions les plus récentes de Windows, avait été repérée et corrigée par Microsoft dans une mise à jour de sécurité déployée en mars. 

Cela n'a pas empêché un nombre considérable d'utilisateurs, qui n'appliquent pas les derniers correctifs de sécurité, de se faire contaminer. Ce problème se pose de façon plus critique encore pour les entreprises et autres organisations publiques, relève le Guardian (en anglais). 

Pour de nombreuses raisons, qui vont d'un manque de moyens à une volonté de tester en profondeur les dernières mises à jour avant de les déployer à l'ensemble de leur parc informatique, les organisations traînent souvent à installer ces correctifs à grande échelle.

"The Guardian"

Au-delà des réseaux locaux, Wannacry sévit également sur internet. Une fois en place, le logiciel malveillant traque les autres machines vulnérables connectées à internet et s'y installe sans que l'utilisateur ne soit au courant. Un ordinateur spécialement configuré par un chercheur en sécurité informatique pour attirer les cyberattaques n'a ainsi mis que trois minutes à se faire infecter après avoir été connecté à internet, relève Slate.fr.

Qu'est-ce que la NSA a à voir là-dedans ?

La vulnérabilité du protocole SMB utilisé par Wannacry pour se propager à toute vitesse n'a pas été découverte par d'astucieux pirates, mais par la prestigieuse agence de renseignement américaine.

Plutôt que de révéler son existence à Microsoft, la NSA a utilisé cette faille, baptisée "EternalBlue" (bleu éternel), pour des activités de renseignement et de piratage, rapporte le site Ars Technica. Et l'agence a été victime d'une fuite de documents dont certains concernaient EternalBlue, et qui ont été publiés en avril par un mystérieux groupe se faisant appeler The Shadowbrokers.

La faille avait beau avoir été corrigée par Microsoft peu de temps auparavant, le mal était fait : l'existence d'EternalBlue était désormais connue de pirates malveillants, qui ne se sont pas fait prier pour l'utiliser.

Sur le blog de son entreprise, le président de Microsoft a sorti l'artillerie lourde pour s'en prendre à l'agence américaine. "A plusieurs reprises, des failles de sécurité entre les mains de gouvernements ont fuité dans le domaine public, provoquant des dommages considérables", écrit Brad Smith.

Dans un scénario classique, cette attaque reviendrait à voir l'armée américaine se faire voler des missiles Tomahawk.

Brad Smith, président de Microsoft

sur son blog

Sur Twitter, le lanceur d'alerte Edward Snowden a également dénoncé "les choix" de la NSA, qui ont "permis à des petits criminels de lancer des attaques à échelle planétaire".

Le président de Microsoft espère que cette attaque servira de "signal d'alarme" aux "gouvernements du monde". Et rappelle avoir demandé en février la création d'une "convention de Genève numérique", qui imposerait aux structures étatiques de signaler aux éditeurs de logiciel les failles qu'elles mettent au jour "plutôt que de les conserver, les vendre, ou les exploiter".