lolloj - Fotolia
WannaCry, le nouveau Conficker ?
Dix-huit mois après l’épisode initial, le maliciel est toujours bien présent, soulignant que certaines leçons, en particulier relatives à l’application de correctifs, n’ont pas été tirées. Mais c’est malheureusement loin d’être une première.
C’était en 2012. Le RSSI groupe de Schneider Electric évoquait, à l’occasion des Assises de la Sécurité, la mise en place d’un système de gestion des informations et des événements de sécurité (SIEM). L’occasion d’une révélation : le projet avait été l’occasion de découvrir des machines en interne infectées par « Mariposa, Conficker, etc. ». Rien de bien glorieux, pourrait-on être tenté de penser au premier abord, mais surtout rien de bien exceptionnel. Et l’histoire se répète, signe que certaines choses peinent à changer, à commencer par l’adoption des principes de base d’hygiène de sécurité informatique. Tout comme pour Conficker, qui plusieurs années après sa découverte, continuait d’infecter près d’un million de machines connectées à Internet.
Jamie Hankins, à la tête des équipes de recherche en sécurité et en renseignement sur les menaces de Kryptos Logic – cette entreprise emploie Marcus Hutchins. Aussi connu sous le pseudonyme MalwareTech, celui-ci a enregistré un nom de domaine mentionné dans le code de WannaCry pour ses serveurs de commande et de contrôle, empêchant ainsi ses opérateurs de faire de plus vastes dégâts. Mais pas de quoi stopper sa propagation. Et c’est justement ce que souligne Jamie Hankins.
Avec l’aide des équipes de Cloud Flare, Hankins relève que l’on continue de compter nombre d’adresses IP, ne trahissant certes pas autant d’hôtes uniques compromis, cherchant à communiquer avec les serveurs de commande et de contrôle désactivés. Le 21 décembre dernier, plus de 220 000 adresses IP uniques étaient concernées. Sur l'espace d'une semaine, c’était près de 640 000 pour 194 pays. Et sur certaines adresses, il fallait compter avec près de 5000 appels par jour.
Autrement dit, WannaCry est encore bien présent et les leçons n’ont pas été tirées. Un peu comme pour NotPetya, en somme. Alors Jamie Hanins n’a qu’un message pour les RSSI : « plus personne ne s’inquiète de WannaCry, c’est du passé. Mais pour nous, son killswitch reste de la plus haute importance. La quantité de dégâts susceptibles de survenir s’il y avait une indisponibilité… S’il vous plaît, nettoyez vos systèmes ». Un énième prêche dans le désert ?