Votre IP : Inconnu · Votre statut : ProtégéNon protégéInconnu

Qu’est-ce que le ransomware WannaCry ?

L'une des menaces de sécurité informatique les plus importantes de ces dernières années porte le nom de WannaCry, un logiciel malveillant capable de bloquer complètement les ordinateurs sur lesquels il est activé et qui, à ce jour, a causé des milliards d'euros de dommages. Dans cet article, nous abordons l'impact du piratage WannaCry et expliquons comment protéger votre ordinateur contre les ransomwares.

Emilie Fabre Emilie Fabre

Emilie Fabre

Qu’est-ce que le ransomware WannaCry ?

Comment fonctionne WannaCry ?

WannaCry est un logiciel malveillant ou malware de type ransomware ou rançongiciel. Le mode opératoire est simple, ce programme utilise un ver ou worm pour prendre en otage les fichiers importants des ordinateurs infectés. Les hackers demandent alors aux propriétaires de payer une rançon pour permettre le déchiffrement de fichiers ou rétablir leur accès tout simplement.

Comment WannaCry se propage-t-il ?

WannaCry chiffre vos données et demande une rançon en échange d'une clé de déchiffrement. Les victimes reçoivent alors une note de rançon sur leur écran avec des instructions. Si elles ne paient pas la rançon, les criminels suppriment les données.

Comme indiqué ci-dessus, WannaCry a exploité la vulnérabilité EternalBlue précédemment connue, développée par la NSA et divulguée ultérieurement par le groupe The ShadowBrokers. EternalBlue exploitait l'implémentation du protocole SMB (Server Message Block) de Windows, qui aide les différents nœuds du réseau à communiquer. Les pirates ont découvert qu'ils pouvaient utiliser ce protocole pour injecter des paquets contenant des codes arbitraires. Bien que Microsoft ait publié un correctif pour lutter contre l'exploitation, la propagation de ce logiciel malveillant s'est produite parce que de nombreuses organisations ne l'ont pas appliqué à temps.

Les criminels injectent également WannaCry à l'aide de la porte dérobée DoublePulsar installée sur les appareils ciblés. Lorsque WannaCry arrive sur l'ordinateur d'une victime, il extrait les composants de l'application malveillante, comme l'application qui chiffre et déchiffre vos données, les fichiers contenant les clés de chiffrement et une copie de Tor.

Une fois à l'intérieur, WannaCry vérifie d'abord le nom de domaine utilisé pour arrêter les logiciels malveillants. S'il ne le trouve pas, il commence à chiffrer les formats de fichiers les plus importants tels que doc, mp3 et mkvs. Enfin, en utilisant la vulnérabilité EternalBlue, il tente de se propager à des ordinateurs aléatoires sur Internet et sur votre réseau.

Souvent considéré comme un virus, le rançongiciel WannaCry a pourtant le comportement d’un ver, capable de se propager sur les réseaux sans intervention humaine. Le fait qu’il soit en mesure d’analyser un réseau, d’identifier des appareils vulnérables et de s’auto-propager le classe définitivement dans la catégorie des vers.

D'où vient WannaCry ?

Bien qu'aucun coupable n'ait été officiellement identifié, les États-Unis, le Canada, la Nouvelle-Zélande, le Japon et quelques autres gouvernements s'accordent à penser que la Corée du Nord est à l'origine de l'attaque. Les experts gouvernementaux ont fondé leurs conclusions sur les similitudes de code avec le Lazarus Group, une organisation cybercriminelle nord-coréenne notoire, et sur les horodatages coréens dans les métadonnées des ransomwares. Aujourd’hui, aucun coupable n’a été formellement identifié.

La cyberattaque WannaCry en 2017

La cyberattaque a débuté en mai 2017 et a touché plus de 300 000 appareils dans plus de 150 pays. Le ver était capable de toucher des milliers d’appareils par heure. Si la demande de rançon était relativement faible (comprise entre 300 et 600 dollars), le préjudice global de WannaCry se chiffre en millions ou en milliards de dollars.

WannaCry a considérablement affecté le service national de santé du Royaume-Uni en compromettant des milliers d'équipements. Il a également visé d'autres entreprises connues comme Renault, FedEx et la Deutsche Bahn. Le constructeur automobile a d’ailleurs été contraint de fermer son usine de Douai dans le Nord pendant une journée, à cause du virus. Des universités, agences gouvernementales et grandes entreprises, notamment dans le secteur des transports ont été particulièrement touchées. Parmi les pays les plus touchés figurent la Russie, l'Ukraine, l'Inde et Taïwan.

Comment expliquer que de si grandes institutions font partie des victimes ? Il est parfois compliqué et chronophage d’effectuer une mise à jour pour tous les systèmes d’un service de santé par exemple. C’est ce qui pourrait expliquer le succès de ce malware.

En 2017, Marcus Hitchins, un hacker britannique, a réussi à stopper l'attaque pendant quelques heures après avoir découvert un coupe-circuit qui empêchait les appareils infectés de propager davantage l'attaque, en utilisant un Botnet.

Le ransomware WannaCry est-il toujours une menace ?

Malgré les correctifs et les informations disponibles, WannaCry constitue toujours une menace active. Là encore, il profite généralement des systèmes non corrigés. Comme nous continuons à observer des cas de WannaCry même aujourd'hui, il est clair que l'application de correctifs n'est pas encore une pratique universelle.

Comment identifier la présence du ransomware WannaCry sur votre ordinateur ?

Contrairement aux rootkits par exemple, qui sont tapis au cœur de votre système et extrêmement discrets, WannaCry s'affiche directement sur votre écran sous la forme d’une fenêtre Windows classique sur fond bordeaux.

On y retrouve deux compte à rebours sur la gauche, l’un avant l’augmentation du montant de la rançon et l’autre avant la destruction des fichiers. Vous y trouverez aussi les étapes à suivre pour la récupération de vos données, et en bas, le lien vers lequel effectuer le virement de Bitcoin.

Peut-on supprimer WannaCry ?

Oui, il est possible de supprimer WannaCry de votre ordinateur, à l’aide d’un outil de sécurité informatique classique. MAIS, car il y a un mais, il ne sera pas possible de déchiffrer les fichiers infectés. Tout d’abord, et quel que soit le ransomware rencontré, il est fortement déconseillé d’accéder à la demande des pirates et de payer la rançon. En effet, rien ne vous garantit de retrouver vos données intactes et vous ne feriez qu’encourager les malfaiteurs dans leur démarche.

Alors, que faire pour déchiffrer les fichiers touchés par WannaCry ? Des outils de déchiffrement ont depuis été développés et vous trouverez sûrement votre bonheur en ligne après quelques recherches. Si ces dernières sont infructueuses, vous pouvez toujours restaurer une version de votre système antérieure à l’attaque.

Comment se protéger de WannaCry ?

À l’heure actuelle, il existe de nombreuses menaces en ligne et il est vital de vous soucier de votre cybersécurité. Voici quelques-uns de nos conseils les plus simples à appliquer, mais redoutablement efficaces au quotidien.

Maintenez vos logiciels à jour

Cela paraît pourtant logique, et pourtant WannaCry aurait eu un impact largement restreint si tout le monde avait mis à jour leurs systèmes en temps et en heure. Nous ne le répéterons jamais assez, c’est une étape cruciale pour votre protection contre les logiciels malveillants.

N'ouvrez pas les pièces jointes suspectes des courriels

Nous avons tous déjà reçu des emails provenant de personnes que nous ne connaissions pas, nous incitant à cliquer sur tel ou tel lien. Avec le temps, les pirates se sont perfectionnés et essaient de se faire passer pour de grandes institutions ou entreprises pour berner leurs victimes. Ne soyez pas dupes, n’ouvrez jamais de pièces jointes et ne cliquez pas sur les liens présents dans ce type de mails d’hameçonnage.

Si l’email envoyé par un de vos contacts vous semble suspect, contactez-le et vérifiez avec lui. Il a peut-être été victime lui aussi. Votre prudence et votre instinct sont vos meilleurs alliés dans la lutte contre les malwares.

Évitez de visiter des sites Web douteux

Lorsque vous tombez sur un site dangereux, vous verrez souvent des bannières publicitaires, qui peuvent contenir des malwares et vous infecter. Pour vous assurer de la légitimité d’un site Internet, voici quelques signes qui ne trompent pas : l’adresse est précédée de https, le site contient des mentions légales ou encore une page de contact réelle.

Pour vous aider à faire le tri, découvrez la fonctionnalité de NordVPN, Protection Anti-menaces. Grâce à elle, votre expérience de navigation est beaucoup plus agréable, car elle bloque l’accès aux sites Web dangereux et les publicités malveillantes.

Sauvegardez vos données importantes

Lorsque vous sauvegardez régulièrement votre système, vos fichiers et documents importants, vous limitez les effets d’une éventuelle attaque par un malware. En effet, si vous êtes un jour victime d’un logiciel malveillant, vous n’aurez qu’à le supprimer et restaurer la version de votre système antérieure à la l’attaque.

Pour un maximum de sécurité, il est préférable de sauvegarder votre système à la fois dans le cloud et sur un appareil de stockage physique.

Utilisez un VPN lorsque vous vous connectez à un réseau WiFi public

Si vous êtes amené à utiliser un réseau Wi-Fi public, ne prenez aucun risque et utilisez toujours un VPN. Ainsi, vos données transitent dans un tunnel chiffré, loin des yeux des pirates.

N'attendez pas. Protégez-vous avec un VPN.


Emilie Fabre
Emilie Fabre Emilie Fabre
success Auteur vérifié
Emilie Fabre, rédactrice de contenu, pense que tout le monde devrait s’intéresser à la confidentialité en ligne. En partageant des articles liés à ce sujet et aux nouvelles technologies, elle espère pouvoir sensibiliser un maximum de personnes, toutes générations confondues.