Sites Inria

English version

Cybersécurité

Aline Brillu - 2/06/2017

Attaque WannaCry, et après ?

Le vendredi 12 mai débutait une cyberattaque d'ampleur mondiale qui a perturbé des milliers d'entreprises sur toute la planète. Cette vague sans précédent a été scrutée de près par les deux Laboratoires de Haute Sécurité d'Inria. Jean-Louis Lanet, responsable du LHS de Rennes et membre de l'équipe TAMIS et Frédéric Beck, ingénieur de recherche au service d'expérimentation et de développement d'Inria Nancy et responsable technique du LHS lorrain nous livrent leur éclairage.

Pouvez-vous nous présenter le rançongiciel WannaCry ?

Jean-Louis Lanet

Jean-Louis Lanet : Le malware WannaCry est un rançongiciel très classique qui consiste à « prendre en otage » l'accès à un système d'exploitation à un navigateur ou à votre disque dur jusqu'au versement d'une rançon. Les ransomware n'ont rien d'un phénomène nouveau puisque le premier du genre – le Trojan AIDS - daterait de 1989 mais le phénomène a explosé avec les progrès du chiffrement et le développement des monnaies alternatives de type Bitcoin. Aujourd'hui il est très facile et très rentable de lancer une attaque de ce type et la probabilité d'être pris sur le fait est proche de zéro.

Frédéric Beck : L'attaque WannaCry n'est pas particulièrement sophistiquée. C'est une recette qui repose sur trois ingrédients. Le premier c'est Eternal Blue, un outil « volé » à la NSA qui exploite une faille dans un vieux protocole de Windows  utilisé pour le partage de fichier. Le deuxième composant c'est la  « backdoor  » Double Pulsar qui, comme son nom l'indique fonctionne comme une porte dérobée. Enfin, il y a le malware en lui-même qui se sert d'Eternal Blue pour entrer dans votre système et de Double Pulsar pour y rester le temps qu'il le souhaite… Rien de bien compliqué !

WannaCry a, semble-t-il, fait beaucoup de victimes… Aujourd'hui quel est le bilan ?

F.B. : On parle de 200 000 machines infectées dans 150 pays. C'est donc une attaque de grande ampleur, ce qui lui a valu cette médiatisation sans précédent. Le butin, lui, apparaît modeste en comparaison, s'élevant aux alentours de 100 000 $ au total, à raison de 0,14 bitcoin (300$) par rançon versée.

J.-L.L : Dans cette affaire le plus inquiétant c'est la facilité avec laquelle le malware a été propagé alors que des précautions élémentaires - des systèmes d’exploitation et des logiciels à jour, une solution de sécurité fiable et des sauvegardes régulières – auraient suffi à le tenir à distance. L'étendue des dégâts en dit long sur le niveau de conscience actuel…

On a vu que de très grosses organisations étaient touchées, ce type d'attaque peut-il mettre en danger la sécurité des nations ?

F.B. : Par chance, ce rançongiciel n’était pas très évolué, et il aurait pu faire beaucoup plus de dégâts. En revanche, il y a plus à craindre des attaques ciblées, ou des émules du botnet Mirai qui a fait l'actualité en octobre dernier en se servant de 150 000 objets connectés pour mener de violentes attaques en déni de services. En faisant tomber Dyn, puissant fournisseur de service de résolution de nom de domaine (DNS) américain, il a réussi à bloquer l'accès aux clients de ce dernier parmi lesquels Twitter, Spotify, Paypal… Les botnets sont des menaces à prendre très au sérieux pour leur potentiel destructeur colossal (déni de service distribué, diffusion de rançongiciel, vol d’information…), et ceux du type de Mirai en particulier parce qu'ils exploitent les objets connectés, maillons faibles par excellence du fait du manque de vigilance de la plupart de leurs utilisateurs.

À Nancy et à Rennes, les deux laboratoires de haute sécurité d'Inria se concentrent directement sur les questions relatives à la cybersécurité. Pouvez-vous nous présenter leurs activités ?

J.-L.L. : Créés en 2008 pour Nancy et 2014 pour Rennes nos deux laboratoires sont complémentaires. À Rennes nous nous intéressons en priorité à la virologie, l'équipe TAMIS compte d'ailleurs un doctorant qui consacre sa thèse aux rançongiciels. Dans cette optique nous avons développé une infrastructure d'analyse des ransomwares  qui compte notamment des postes informatiques volontairement vulnérables fonctionnant comme des pots de miel. L'idée est de les laisser se faire infecter afin de pouvoir analyser a posteriori le modus operandi des attaques.  Ces honeypots ont d'ailleurs été témoins du passage de WannaCry… et de ses nombreux descendants car il faut savoir qu'on voit arriver de nouveaux malwares tous les jours !

F.B : À Nancy, la priorité est plutôt donnée aux travaux de recherche sur la sécurisation des réseaux et des échanges, mais aussi l’analyse de codes malveillants. L'une des missions du LHS consiste à observer le "bruit de fond" d'Internet pour essayer de détecter au plus tôt les activités qui sortent de la normale en nous intéressant aux signaux faibles qui nous remontent via des sondes que nous avons placées un peu partout sur Internet. Nous avons également un dispositif de honeypots et comme nos collègues de Rennes nous avons pu suivre de près l'onde de propagation de WannaCry. Aujourd'hui nous travaillons essentiellement en "post mortem " mais dans un proche avenir nous aimerions nous rapprocher de l'analyse en temps réel sachant que l'idéal serait d'être en mesure de détecter les attaques avant qu'elles n'arrivent. Nous nous apprêtons d'ailleurs à lancer un projet à ce sujet avec plusieurs partenaires universitaires.

Justement quelle est votre stratégie en matière de partenariat ? Êtes-vous en lien avec les autorités chargées de la cyberdéfense ?

J.-L.L. : En ce qui nous concerne l'aspect partenarial est essentiel ! En effet, le LHS rennais a été mis en place dans le cadre du pacte de défense cyber qui vise notamment à faire de la Bretagne le pôle d'excellence cyber. À ce titre, la structure est portée par quatre acteurs : Inria, CentraleSupelec, la région Bretagne et la direction générale de l'Armement avec laquelle nous sommes en contact permanent, en particulier dès qu'une crise importante survient. Loin d'être cantonnés à la recherche fondamentale, nous travaillons également avec une entreprise qui conçoit des antivirus dans une logique de transfert industriel.

F.B. : De notre côté nous sommes en lien direct avec l'Agence nationale de la sécurité des systèmes d'information - qui pilote la stratégie nationale de cyberdéfense pour le compte du premier ministre – ainsi qu'avec le CERT Renater, le centre d'alerte et de réaction aux attaques informatiques du réseau national de télécommunication pour la technologie, l'enseignement et la recherche. À l'instar de nos confrères de Rennes nous sommes aussi très impliqués dans le transfert industriel avec la création de deux start-up Inria issues du LHS lorrain, Lybero.net et Cyber-Detect. D'ailleurs, il y a quelques jours, cette dernière a été la première à modéliser le malware Adylkuzz qui utilise la même faille de sécurité que WannaCry mais avec plus de discrétion pour « miner » de la cryptomonnaie. Je profite de cette interview pour rappeler l'importance cruciale d'une bonne hygiène informatique : il est indispensable de garder votre système d'exploitation et vos antivirus à jour !  

Haut de page

Suivez Inria