La cyberattaque WannaCry 2.0 : cas emblématique de la nécessité de l’analyse par les signaux faibles ? (T 1278)

La cyberattaque WannaCry 2.0 : cas emblématique de la nécessité de l’analyse par les signaux faibles ? (T 1278)

Jean Langlois, Marc-Olivier Boisset, « La cyberattaque WannaCry 2.0 : cas emblématique de la nécessité de l’analyse par les signaux faibles ? (T 1278) », RDN, 11 mai 2021 - 4 pages

Code binaire (Pxhere)

En mai 2017, la cyberattaque avec le rançongiciel WannaCry, d'une ampleur inédite, a marqué un tournant dans la nécessité de l'analyse des signaux faibles pour prévenir ces nouvelles menaces. Focus sur un cas d'études par deux chercheurs associés à l'Institut d'étude des crises de l'intelligence économique et stratégique (IEC-IES).

The WannaCry 2.0 Cyberattack: A Symbolic Case for the Need to Analyze Weak Signals? (T 1278)

In May 2017, the cyberattack using WannaCry ransomware, on an unprecedented scale, marked a turning point in the need for weak signal analysis to prevent these new threats. Focus on a case study by two researchers associated with the Institute for the Study of Economic and Strategic Intelligence Crises (IEC-IES).

En mai 2017, plusieurs organisations publiques et privées ⁽¹⁾, localisées dans 150 pays, ont été victimes d’une cyberattaque mondiale, s’appuyant sur le logiciel malveillant (malware) WannaCry 2.0 et l’exploit EternalBlue. Ce programme informatique est un rançongiciel (ou ransomware) auto-répliquant. Selon l’Agence nationale de sécurité des systèmes d’information (Anssi), « Le rançongiciel, consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement » ⁽²⁾. Dans le cas de WannaCry 2.0, la cible était les ordinateurs utilisant certaines versions du système d’exploitation Microsoft Windows. Les cyberattaquants ont également utilisé un programme de piratage complémentaire, l’exploit ⁽³⁾ EternalBlue développé par la National Security Agency (NSA) ⁽⁴⁾. EternalBlue avait été diffusé sur Internet deux mois auparavant par un groupe de pirates informatiques, The Shadow Brokers ⁽⁵⁾.

WannaCry 2.0 est une crise cyber majeure, mais également le potentiel sujet d’études théorique et opérationnelle. Dans ce court article, nous synthétisons nos recherches en cours afin d’exploiter tout le potentiel de WannaCry 2.0 (et NotPetya) comme cas d’étude. Nous analysons la chronologie des principaux événements et proposons d’en tirer certaines leçons.

***WannaCry* 2.0, un cas d’étude singulier**

Cette cyberattaque constitue un cas d’espèce unique sur au moins deux aspects. D’une part, comme Europol l’a souligné en mai 2017, son ampleur « d’un niveau sans précédent » et sa rapidité de propagation demeurent encore aujourd’hui inégalées. Les experts ont estimé que l’attaque avait touché en une journée au moins 200 000 ordinateurs dans 150 pays ⁽⁶⁾, entraînant pour les organisations atteintes des dommages allant de centaines de millions à des milliards d’euros. De plus, il s’agit encore à ce jour de l’unique exemple de « campagne massive automatique » ⁽⁷⁾ de cyberattaque à rançon depuis les débuts du réseau mondial Internet. D’autre part, grâce à l’exploit EternalBlue, son mode opératoire était également particulier. En 2019, l’Union internationale des télécommunications avançait qu’« à l’inverse des rançongiciels ordinaires, qui se diffusent en tant que pièces jointes à des courriers électroniques, le vecteur de contamination de WannaCry nécessitait uniquement que les systèmes vulnérables soient connectés à Internet » ⁽⁸⁾. Ainsi, pour infecter la victime, l’attaquant n’avait nullement besoin d’avoir d’interaction avec elle. De même, pour se propager ensuite dans le réseau de la cible, l’attaquant n’avait aucune action manuelle à réaliser.

Il reste 76 % de l'article à lire